为了应对LockBit组织内部日益增长的挫败感,其领导者彻底改变了与勒索软件受害者谈判的方式。LockBit领导层对组织支付的低利率表示担忧,当受害者支付时,附属机构收取的赎金金额被认为太低。谈判的不一致也是高层之间争论的焦点。LockBit内部认为,经验不足的附属机构无法从受害者那里获得预期的最低付款,并且过于频繁地提供未经批准的折扣。在十月份规则变更生效之前,几乎没有任何成文的规则或谈判指南。附属机构完全自行其是,而不一致的谈判导致拒绝支付赎金的受害者人数增加。这主要是因为该组织经验不足的附属机构提供的折扣与赎金金额相比太大。此外,跟踪该组织谈判的事件响应人员正在记录这些数据并将其用于对付他们。

据称新近达成共识的指南,是为了保证Lockbit及其附属机构的利益。LockBit为附属公司提供了需要遵循的指南,以及有关可以提供的最大折扣以及相对于初始赎金金额的谈判可以低到什么程度的规则。

Lockbit高层认为,当谈判者认为与更有经验的附属公司合作时可以获得更大的折扣时,因为之前的攻击表明他们可以提供这些折扣,这些谈判者就会停止谈判并拒绝付款。他们觉得自己做了一笔糟糕的交易,而犯罪分子最终却没有得到报酬。

LockBit表示,在某些情况下,他们发现附属机构提供高达90%的折扣,只是为了获得赎金,而不顾赎金的多少。这样做的得利影响表现为,一些更有经验的勒索犯罪分子同样在收取赎金,这显得他们提供的折扣不那么诱人,可以说是扰乱了勒索市场。Lockbit是勒索生态中的创新者,他们把赎金收取的权利下放到了附属机构。

根据安全商店Analyst1收集的情报,LockBit在9月份发布了一项调查,为附属公司提供了对潜在规则变更进行投票的机会,并指出了该组织的挫败感。

它为附属公司提供了六种选择:

(1)让一切保持原样。附属公司一如既往地制定自己的规则,没有任何限制。

(2)根据公司的年收入确定最低赎金要求,例如赎金比例为年收入的3%,就禁止超过50%的折扣。因此,如果该公司的收入为1亿美元,则最初的赎金请求应从300万美元起步,最终支付不少于150万美元。

(3)不要对所需的最低金额施加任何限制,因为这取决于对受害者造成的损害。但是,最大折扣不应超过50%。例如,如果初始赎金设置为100万美元,则附属机构不能接受任何低于50万美元的付款。

(4)如果您能找到网络保险,则禁止支付低于受害者保险金额的任何款项。

(5)如果您能找到网络保险,则禁止支付低于受害者保险金额50%的款项。

(6)您想到的其他建议。

随后,LockBit确定了两项规则,这些规则将指导从10月1日开始的所有未来谈判。

第一个是赎金金额,以及附属机构应如何根据受害者的年收入比例设定起步金额。

收入不超过1亿美元的 -赎金应在3%到10%之间(编者注:要求赎金的最高金额为300万-1000万美元之间)

收入1-10亿美元之间的-赎金应在0.5%至5%之间(编者注:要求赎金的最高金额为500万-5000万美元之间)

收入超过10亿美元 –赎金应在0.1%至3%之间(编者注:以收入100亿为例,要求赎金的最高金额为1000万-3亿美元之间)

LockBit表示,虽然赎金金额最终仍由附属机构自行决定,并且“无论金额多少看起来都是公平的”,但在教科书勒索软件部署场景中应遵循上述指导。

例如,如果附属公司未能销毁受害者的备份,他们可能会调整赎金。

第二条规则涉及附属公司提供的折扣。虽然赎金金额仍然可以由附属机构自行决定,但他们现在提供折扣的许可要少得多,硬性最高限额为50%。

LockBit在与Analyst1分享的发给关联公司的消息中表示:“从2023年10月1日起,在与受攻击公司的沟通过程中,严格禁止给予超过最初请求金额50%的折扣。”

“对于那些性格钢铁般的人来说,知道如何确定公司大概率支付的赎金金额并且几乎从不做出大折扣的人,请牢记这条规则,并根据最大允许的大小调整赎金金额折扣。赎金金额仍由您自行决定,金额为您认为公平的金额。” “请严格遵守规则,并尽可能遵守建议。”

Analyst1引用了LockBit和The Register之前的对话作为这些新政策正在实施的例子。

当经销商巨头CDW和LockBit之间的谈判于10月初破裂时,Windows勒索软件组织的发言人告诉我们,根据其计算,CDW的年收入为200亿美元,而其支付报价太低了。

LockBit发言人当时表示:“计时器一到,你就可以看到所有信息,谈判就结束了,不再进行。” “我们拒绝了这个荒谬的金额。”

根据LockBit的新赎金指南,估值为200亿美元时,所需的赎金将设定在2000万至60亿美元之间。

LockBit在其泄密博客上发帖称,CDW仅向其提供110万美元作为赎金,以回应其提出的8000万美元赎金 — —这一提议似乎被视为具有冒犯性。

勒索软件组织与其潜在受害者之间持续不断的斗争凸显了密切监控这一不断变化的形势的新发展的必要性。在勒索软件攻击的多个阶段中,对于受害者和攻击者来说,谈判都是至关重要的事件。然而,差异体现在结果上。当谈判失败时,攻击者遭受的后果相对较小,例如损失时间和资源。然而,这些事件的受害者面临着更重大的损失,并面临着巨大的财务和声誉损失。

在谈判中,受害者是唯一的决策者。虽然进入谈判并支付赎金通常被认为是最不利的选择,但在某些情况下,受害者可能会考虑这种选择,以挽救企业免受更严重的损害。公司和参与者都意识到了这种动态。参与者识别他们可以利用的漏洞并战略性地利用它们。

LockBit有着对知名实体进行多次攻击的历史,其内部结构和集团内部谈判规则的最新发展引入了另一层复杂性。了解这种转变对于仔细评估缓解勒索软件攻击(如果发生)的方法至关重要。

“此分析的关键要点是认识到每个LockBit案例本质上都是独一无二的,这主要是由于内部组织结构。最显着的因素之一是,对违规行为本身负责的关联公司也是谈判背后的关联公司。这意味着什么?每次谈判者处理一个新案件时,他们可能会与不同的人打交道。

“人为因素,包括心理细微差别和不同的经验水平,显着影响谈判过程。因此,受影响的实体必须有效地适应和驾驭这些变量,以提高在缓解LockBit攻击的复杂环境中成功解决问题的机会。”

参考资源

1、https://www.theregister.com/2023/11/17/lockbit_cracks_whip_on_affiliates/

2、https://analyst1.com/blog-negotiating-with-lockbit-uncovering-the-evolution-of-operations-and-newly-established-rules/

3、https://www.theregister.com/2023/10/06/cdw_lockbit_negotiations/

声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。