美政府打击勒索软件重心拟转向：从抓捕起诉到破坏犯罪生态

图：Flickr

前情回顾·勒索软件全球治理动态

• 战略转向！勒索软件正在肆虐东南亚地区

• 英国拟禁止关基设施支付勒索软件赎金，其它组织需强制申报

• 11国联合执法：勒索软件之王LockBit遭受毁灭性打击

• 美国管道勒索软件攻击两周年，联邦政府如何总结经验与教训？

安全内参9月23日消息，一项新的内部审计建议，美国司法部和联邦调查局需要重新定义打击勒索软件获得成功的指标。

这份长达26页的审计报告于9月17日发布。美国司法部监察长Michael Horowitz在报告中详细阐述了该部门从2021年4月到2023年9月期间与勒索软件相关的行动，报告还涵盖了计划于2024年初对LockBit的打击行动。

调查发现，美国司法部和联邦调查局在更有效地打击勒索软件方面有三个需要改进的领域。

应改进衡量打击勒索软件成功的指标

司法部需要一种更好的方式“来确定哪些勒索软件威胁的指标（包括打击勒索软件行动的衡量指标）最为重要，且能够展示其打击勒索软件威胁行动的有效性。”

调查人员查阅的文件显示，司法部目前将与勒索软件相关的“成功”定义为：在报告的勒索软件事件中，“案件在72小时内立案、并入现有案件、解决或采取行动的比例提高到65%”。

联邦调查局表示，2023年，针对47%的勒索软件事件，在72小时内采取了行动，这一数字较2022年的39%有所上升。

此外，联邦调查局和司法部还设定目标，希望在2022年和2023年将与勒索软件相关的查封或没收案件数量增加10%。

调查人员指出：“我们认为，司法部现有的勒索软件指标并未真正反映其打击恶意行为者行动的有效性。”

“无论司法部是否继续将勒索软件作为优先任务，都应确定哪些指标最具影响力，以确保能够准确衡量其打击行动的效果。”

报告肯定了司法部和联邦调查局多项基础设施破坏行动的成效，尤其针对LockBit、Hive和AlphV等勒索软件团伙的行动。通过这些行动，两家机构向当前和过去的受害者提供了数百个解密密钥。联邦调查局特别制定了一项战略，专门针对那些构成并推动勒索软件生态系统的行为者、基础设施和资金来源。

调查人员表示，他们认为司法部应该进一步追踪破坏勒索软件行动的成效，将破坏次数和向受害者提供的解密密钥数量作为衡量成功的重要指标。

应加强推进机构间协调和信息共享

审计报告指出，司法部尚未为未来两年制定关于勒索软件的行动计划，也未按要求在过去两个财年通过performance.gov报告任何进展。

Horowitz及其团队还发现，一些勒索软件调查因不同执法机构之间的内部矛盾而受阻，这些机构往往拒绝共享信息。

他们表示：“协调失败和冲突未能化解，损害了调查、起诉以及执法间的关键合作关系，也浪费了资源，破坏了公众对司法部的安全感、国家安全以及对政府的信任。”

联邦调查局的官员告诉调查人员，曾有两起相关勒索软件案件分别由不同联邦检察官监督，但“他们未按要求根据解除冲突政策共享信息。” 一位刑事部门官员还透露，全国各地的检察官办公室对这一政策的了解和执行情况存在差异。

应重新审视并制定NCIJTF机构的使命和职能

审计报告还指出，联邦调查局需要为其领导的国家网络调查联合工作组（NCIJTF）的刑事任务中心制定更加明确和具体的使命。

NCIJTF负责协调2021年和2022年整个政府的勒索软件行动计划，但在国会于2022年成立了新的多机构联合勒索软件工作组（JRTF）后，NCIJTF的职能陷入不确定的状态。

报告发现，NCIJTF“在打击勒索软件方面未产生任何有意义的成果”，自新的工作组成立以来，其作用变得模糊不清。

Horowitz表示：“我们发现，联合勒索软件工作组的成立削弱了刑事任务中心的作用，导致其在打击勒索软件方面的角色不再明确。”

美国司法部副助理检察长Bradley Weinsheimer在回复审计报告的信中表示，他认同调查结果，并承诺将致力于解决这些问题。

联邦调查局网络部门助理主任Bryan Vorndran也对相关建议表示赞同，并承诺联邦调查局将更明确地界定NCIJTF的角色。

参考资料：https://therecord.media/doj-fbi-metrics-ransomware-needed

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。