早在2021年，Sophos X-Ops就发表了一篇文章，介绍了10种勒索软件运营商向目标施加压力让其支付赎金的方法。去年，X-Ops透露，威胁行为者已与部分媒体建立了一种共生关系，利用新闻文章作为施压方式。三年过去了，威胁行为者仍在继续调整和改变他们的施压策略，以增加对目标的影响力。

2021年的文章中描述的方法——例如威胁发布数据，打电话给员工以及通知客户和媒体有关违规行为——今天仍在使用。然而，勒索软件团伙正在采用一些令人担忧的新策略。

简单总结一下Sophos X-Ops的研究结果：

• 勒索软件运营商越来越多地将合法实体（如新闻媒体、立法机构、民事监管执法机构甚至执法部门）作为武器，以加大对受害者的威胁；
• 在某些情况下，犯罪分子鼓励受影响的客户和员工索要赔偿，或提起诉讼——有时甚至为其提供涉事首席执行官和企业主的姓名和联系方式；
• 威胁行为者声称对被盗数据进行评估，以寻找非法活动、违规和财务漏洞的证据——所有这些都可以用作进一步的杠杆，并对受害组织造成声誉损害；
• 勒索软件罪犯会公开批评他们的受害者，有时还会试图嘲笑他们不道德或疏忽，这不仅会造成声誉损害，还有助于一些犯罪团体试图“翻转剧本”，将自身描绘成善良和正义的化身；
• 勒索软件操作者似乎越来越习惯于窃取和泄露极其敏感的数据，包括医疗记录、裸照，甚至是CEO女儿的个人信息。

立法与诉讼

在2021年，我们很少看到勒索软件攻击者将立法武器化，或鼓励其攻击的次要受害者（如客户、顾客和员工）提起诉讼，以增加对目标组织的压力。然而，最近出现了多起这样的例子。

2023年11月，ALPHV/BlackCat向美国证券交易委员会（SEC）提起诉讼，指控自己勒索的一个受害组织。威胁行为者声称，该公司未能在新的最终规则（该规则于2023年7月通过，但直到当年12月才真正生效）要求的四天内通知美国证券交易委员会违规行为。

在某些情况下，威胁行为者还会专门搜索受害组织的违规行为。例如，在探索勒索软件团伙与媒体之间的共生关系时，研究人员发现至少有一个威胁行为者正在积极招募黑客寻找受害组织不合规和财务违规的实例，并以此作为敲诈勒索的杠杆。

【图1：一个威胁行为者在犯罪论坛上发布了一个招聘广告，找人来查找“违规”、“不当支出”、“财务漏洞”以及“与制裁名单上的公司合作”等违规行为】

值得注意的是，这类活动可能需要相当多的专业知识（正如下图所示），但如果它能为勒索软件运营商提供更多的“弹药”，那么一切努力都将是值得的。

【图2：一个威胁行为者在犯罪论坛上提供了一些关于发现“税务报告不一致”的建议】

事实证明，至少有一个勒索软件组织真的在做这类研究。WereWolves勒索组织在其泄密网站上指出，它会对被盗数据进行“犯罪评估、商业评估和竞争对手内幕信息评估”。

【图3：WereWolves勒索软件泄露站点的摘录】

研究还发现了一个特别令人不安的例子：Monti勒索软件团伙声称，一家被入侵组织的一名员工一直在搜索儿童性虐待材料。该攻击者发布了一个浏览器历史窗口的截图，以及一个PowerShell窗口，显示了该员工的用户名。Monti表示，“如果他们不付款，我们将被迫将虐待信息交给当局，并向公众发布其余信息。”

【图4：Monti勒索软件泄露网站的部分内容】

研究人员还注意到一个威胁行为者鼓励个人身份信息（PII）泄露的受害者参与诉讼的例子。这名威胁行为者不仅提供了一段“谈判片段”，鼓励那些受影响的人向目标组织的高管表达索赔诉求，还提供了高管的姓名及联系方式。

【图5：威胁行为者在犯罪论坛上发帖，为那些希望参与受害者诉讼的人提供材料】

这种“点名到人”的策略已被多个勒索软件团伙使用。例如，Qiulong勒索组织会定期在其泄密网站上公布首席执行官和企业主的详细信息，通常还附有侮辱、个人信息和玩忽职守的指控。

【图6：Qiulong勒索软件泄露站点的帖子。请注意（上图已经过处理）对CEO信息的引用】

类似地，Snatch威胁行为者也会定期点名特定的个人为数据泄露“负责”。

【图7：Snatch泄露网站上的一个帖子，其中列出了一个特定的个人为数据泄露负责】

【图8：Snatch攻击者解释其将企业主和高管个人数据公布在泄漏站点上的原因】

在一个案例中，研究人员注意到，Monti勒索软件组织不仅列出了一个企业主的名字，公布了他们的社会安全号码，还发布了一张他们的照片，上面粗糙地编辑了恶魔角和一个对话框，上面写着“我是一个愚蠢的p***，不在乎我的客户。”

从勒索软件运营商的角度来看，提到特定的个人有三个主要目的：

• 首先，它为任何随后的指责、压力和/或诉讼提供了“避雷针”。
• 其次，它会造成声誉受损的威胁。
• 第三，人身攻击可以威胁和恐吓目标组织的领导层。

威胁行为者正在将立法武器化，以实现自己的非法目标，这似乎有些讽刺意味，而这种策略的成功程度尚不清楚。然而，可以肯定的是，这种方式会增加C级高管本已不堪重负的压力——特别是在至少一名CEO此前曾因与勒索软件攻击有关的法律行动而被定罪的背景下。虽然目前并无因勒索软件组织向监管机构或执法部门提交违规信息而导致的定罪案件，但这并不意味着未来不会发生这种情况——这种可能性可能会引起高管们的关注。

此外，一些勒索软件运营商声称自己扮演了“义务警察”的角色，以揭露组织内部的不法、违规和犯罪行为，这一事实提出了一个有趣且极具有讽刺意味的道德问题，有助于一些犯罪团体试图“翻转剧本”，将自身描绘成善良和正义的化身。

道德、名誉受损和难堪

在上面的图4中，WereWolves勒索软件组织声称要揭露（并威胁要报告）据称发生在一个组织中的严重犯罪活动。虽然这并不能磨灭勒索软件攻击的非法性和严重性，但它提出了一个道德困境：哪个更糟糕，是勒索软件攻击本身，还是攻击者揭露了受害组织内部潜在的犯罪活动？

许多勒索软件罪犯在这个道德“灰色地带”茁壮成长，并希望以此营造出道德、伦理或真正关心安全和保密的“正面”形象。如上所示，许多勒索软件团伙正试图“翻转剧本”，把自身描绘成一股正义的力量，称自己是“诚实的……渗透测试者”，或者是进行“网络安全研究”/“安全审计”的“渗透测试服务”。然而，合法的渗透测试人员是在雇佣他们的公司事先许可和设定的参数（有时是主动监督）下工作的；勒索病毒罪犯则不然。

例如，Cactus将自身描述为“直接安全审计机构（DSAA），一次提供一个超针对性的解决方案，彻底改变客户的旅程。”这里的语言——可能是有意的——让人想起企业的营销材料。

【图9：Cactus在其泄漏站点的FAQ页面上声称自己进行的是“网络安全审计”工作】

相比之下，许多勒索软件团伙称他们的目标组织是“不负责任”、“疏忽大意”或对用户漠不关心。

【图10：8Base泄露网站提到“不负责任地处理……个人数据和商业秘密”，并指出“我们很抱歉，由于公司对客户个人数据隐私和安全的疏忽态度，您受到了影响”的措辞给了用户索要赔偿的机会】

图10中特别令人感兴趣的是8Base的承诺，他们将根据目标组织的个人客户的要求，“根据需要删除个人信息……不向您收取任何费用”。

同样地，这（也许）是为了让这个组织显得合理和有道德，但它也与针对组织的压力策略结合在一起。在同一段中，8Base指出，“此外，我们将提供您的数据集，您可以在诉讼中使用，以向组织索赔对您造成的损害。”

【图11：Blacksuit勒索软件组织在其泄露网站上的一篇文章中声称，目标组织的管理层“不关心你或你的个人信息”】

【图12：Space Bears泄露网站的截图，该网站询问访问者是否信任泄露其数据的公司】

在许多情况下，在谈判破裂和受害者决定不付款之后，这种批评仍在继续。例如，Karakurt组织在一份“新闻稿”中对未支付赎金的一家医院进行了声讨。

【图13：Karakurt组织批评一家未支付赎金的医院“不诚实和不负责任”】

通常，在受害组织暴露安全弱点和疏忽的情况下，勒索软件运营商会将自身描绘成道德上优于受害组织的存在。偶尔，他们还会采取进一步的行动来混淆视听。

例如，Malas勒索软件团伙要求受害组织“向他们选择的非营利机构捐款”。

【图14：摘自Malas勒索软件团伙泄露网站上的一篇文章。最后一段话出自金融家沃伦·巴菲特之手】

其他威胁行为者以前也采取过类似的方法。例如，在2022年，GoodWill勒索软件组织要求受害者践行慈善活动，比如为贫困儿童提供食物，或者为无家可归的人提供衣服和毯子，并在网上发布视频证据。2020年，Darkside勒索软件团伙声称已将其收益的一部分捐赠给了两个慈善机构。据调查所知，目前还没有已知的GoodWill勒索软件的受害者，所以我们不知道这种策略是否成功，而且Darkside捐赠资金的两个慈善机构中至少有一个表示“不会保留这笔钱”。

然而，Malas勒索组织在此基础上进行了改进。除了要求慈善捐款外，它还明确批评了某些组织所谓的道德缺陷——可以说是将勒索软件与黑客行动主义结合在了一起。

【图15：在讨债机构（试图代表债权人追讨债务的公司）受到攻击后，Malas泄漏站点上的帖子】

【图16：Malas泄漏站点上的另一个帖子，指的是对自然资源部门组织的攻击】

Malas承认，这种方法并不是特别成功。在其常见问题解答中，它对“它是否有效？”给出了一个毫不含糊的回答：“到目前为止，还没有。”有趣的是，FAQ的作者声称，造成这种情况的原因之一是受害者“不会向真正的基层组织捐款”。

【图17：Malas详细说明了为什么它认为自己的方法没有效果】

然而，在试图将目标组织描述为“存在道德缺陷”的过程中，Malas在本质上与同行没有什么不同，都是利用了声誉受损的威胁。这样做的目的是为了减少目标组织的客户信任度和诚信度，随后提议的解决方案是让目标方付钱，从而至少部分地抵消任何不利影响。

在与受害方的沟通方面，Malas与其他同类也没有什么不同。与其他勒索软件组织一样，它也是威胁要出售或公布数据，并通知记者和客户。

【图18：Malas泄漏站点的摘录】

此前的研究已经揭示了这种威胁的普遍性。许多新闻媒体热衷于发布关于勒索软件的报道，而媒体的关注可能会加重组织的声誉损害，并增加支付赎金的压力。鉴于此，许多勒索软件团伙明确地在其泄漏网站上发出这种威胁，并会请求媒体报道和记者访谈。

此外，一些威胁参与者还威胁要通知客户、合作伙伴和竞争对手。这样做的目的是从多个角度和来源——媒体关注、消费者、客户、其他公司，以及潜在的监管机构——产生和加强压力。

【图19：摘自Cactus泄漏站点上的FAQ。注意那些“你很可能会被起诉”的威胁，以及“记者、研究人员等会挖掘你的文件，发现不一致或不合规之处”。】

【图20：Play泄漏站点的FAQ节选。在“如果我们不付款会发生什么？”的回答中，有一些类似图19的措辞】

众所周知，个人数据泄露的威胁是组织（当然也是相关个人）的一个大问题，涉及隐私和潜在的法律后果。虽然这种情况仍然存在，但近年来勒索软件团伙已经加强了他们的策略，有时会泄露或威胁泄露极度敏感的数据。

敏感数据、报假警（Swatting）等等

多个勒索软件组织在攻击后公布了敏感的医疗数据。这包括心理健康记录、儿童医疗记录，以及最近的血液测试数据。

在一个数据泄露愈发普遍的世界里，威胁要泄露极其敏感的数据加剧了受害者组织的压力，并可能给受影响的人带来相当大的痛苦和担忧。

在某些情况下，勒索软件团伙在其泄露网站上明确指出了这一点，并指出被盗数据包括“裸体患者的图像”和“关于患者性问题的信息”。

【图21：Qiulong泄漏站点上的帖子】

【图22：Qiulong泄露站点的另一篇帖子】

在一个特别令人担忧的例子中，Qiulong勒索软件组织发布了一位首席执行官女儿身份文件的截图，以及她的Instagram个人资料的链接。

【图23：Qiulong勒索组织在其泄露网站上发布了一位CEO女儿的个人数据。从所提供的有限背景来看，这可能是谈判破裂后的报复行为】

早在2021年，研究人员就已经注意到勒索软件团伙有时会给员工和客户发电子邮件或打电话，以对组织施压。然而，近年来，威胁参与者似乎不仅对直接威胁组织越来越感兴趣，而且对次要受害者也越来越感兴趣（如图23所示）。例如，据2024年1月的报道称，攻击者威胁要针对一家癌症医院的病人“报假警”，并向一位首席执行官的配偶发送了威胁短信。

一般情况下，勒索软件运营商会警告受害者不要联系执法部门。然而，Swatting威胁表明，一些攻击者愿意在适合他们的时候将执法武器化——就像他们愿意将立法和法规武器化一样。

*编者注：Swatting一词来自于S.W.A.T（反恐特警的简称），专指一种向警察谎报严重暴力事件迫使警方动用反恐特警的恶作剧。虽然Swatting看起来只是报假警，没有直接暴力犯罪行为，但除了制造恐慌和浪费大量警力、损害公共资源外，还可能会把人们置于危险之中，造成可怕后果。

战术升级

虽然许多勒索软件团伙仍在使用2021年所报道的施压策略，但这些策略似乎都有所升级。目前还不确定造成这种情况的原因是越来越多的受害者选择不支付赎金，还是来自其他威胁参与者的竞争，亦或勒索软件组织越来越大胆。然而，显而易见的是，上述讨论的所有策略都是为了恐吓目标组织和与之相关的人。

一些勒索软件组织会利用所有合法资源来增加对目标的压力，包括新闻媒体、执法部门、民事诉讼威胁，或者向监管机构报告不当行为。虽然现在说这种方法是否有效还为时过早（而且，同样值得注意的是，这种威胁并未普遍化），但犯罪分子的目标是从多个角度和来源制造压力。

使用电话进行威胁和Swatting也表明他们愿意将威胁从数字领域转移到现实世界。特别是Swatting是一种极其危险的罪行，有时会造成伤亡，并产生严重的心理压力。

展望未来，勒索软件团伙可能会继续设计和采用新的策略来迫使受害者支付赎金，并在不支付赎金的情况下对其造成名誉损害，或其他更糟的破坏行为。组织必须加以重视，并通过最佳实践指南和最新反勒索软件工具包来检测和防范此类威胁，同时制定和完善事件响应流程，以降低勒索软件的影响。最后，教育员工最新的勒索软件相关信息，加固抵御入侵的第一道防线。

原文链接：

https://news.sophos.com/en-us/2024/08/06/turning-the-screws-the-pressure-tactics-of-ransomware-gangs/