与黑客讨价还价，勒索攻击企业数据是重点

讨价还价

笔者在跟踪分析某个流行勒索病毒家族样本的时候，发现了国外某企业与黑客在暗网上进行“讨价还价”的过程，黑客组织找企业要“封口费”，不然就在暗网上公布和出售企业的数据。

受害企业通过黑客提供的勒索信息，找到黑客组织，黑客直接开口150万美元，并申称盗取了企业200G的数据，这些数据包含企业的会计、法律文件、财务、合同和私人信件等数据，如下所示：

 

黑客声称如果不支付，就会把企业的数据在黑客论坛上进行发布并公开出售，这个时候受害者肯定需要验证黑客是不是真的盗取了企业的数据，于是受害者要黑客提供盗取数据的相关证据，黑客给受害者提供了盗取数据的30%的信息树，如下所示：

 

黑客给受害者提供了相关的数据树信息，如下所示：

 

这个时候受害者为了验证数据的有效性，随机找了几个重要的文件，让黑客提供这几个文件来验证是否真的盗取了，如下所示：

 

黑客给受害者发送了这几个文件，得到了验证，确实企业的数据被盗取了，于是企业开始评估这些数据的价值，最后给黑客组织开出了只能支付15万美元的要求，如下所示：

 

经过一轮的“讨价还价”，最后企业将赎金提升到了20万美元，但黑客也给出了90万美元的价值，好像是在菜市场买菜讲价一样，企业也在评估这些数据的价值，同时黑客也会做出相应的让步，然后企业又提高了赎金，涨到了22.5万美元，黑客也相应的给出了让步，变成了87.5万美元，如下所示：

 

这场与黑客组织的“讨价还价”，就这样进行中，最后这家企业会支付多少赎金呢?目前他们愿意支付的赎金从最初的15万美元涨到了22.5万美元，黑客也从最初的150万美元降到了87.5万美元，这个过程其实就是企业和黑客双方都在评估数据价值的过程......

勒索攻击

其实对于勒索攻击，就像笔者之前的文章中提到的，业界一直存在的两个误区：

(1) 防勒索攻击，不仅仅是防勒索病毒，需要防御的是黑客组织一整套攻击流程，以及在整个攻击链的各个环节中出现的各种不同功能的恶意软件以及相关漏洞。

(2) 防勒索攻击，不仅仅是备份企业数据，就万事大吉了，勒索攻击的关键已经不仅仅是在中了勒索病毒之后，企业能不能拿到解密工具，解密数据，快速恢复业务这么简单了，而是在黑客入侵安装了恶意软件之后，这一段潜伏期内，企业的核心数据是否被黑客盗取，将来这些数据会不会在暗网上公开售卖。

关于这两个误区，更详细的内容可以参考笔者之前写的一篇文章《从HSE攻击事件漫谈针对勒索攻击防御的两大误区》，勒索攻击不等于勒索病毒，使用勒索病毒仅仅是勒索攻击中的一种手段，事实上勒索的核心点是企业的数据，之前很多企业的数据被盗，黑客组织也会在暗网上进行售卖，但这种方式似乎还不能给黑客组织带来快速的收益，随着勒索病毒的发展，勒索攻击成了一种主流，之前一些黑客组织也快速的更新了自己的经营模式，开始通过公布企业核心数据来勒索企业支付“封口费”，这种方式似乎在未来会成为另一种勒索的模式。