禁止勒索軟件受害者向攻擊者支付贖金，這一倡議在一些國家和地區已不是什么新鮮事，但對絕大多數地方而言，這項禁令的實施仍然舉步維艱。

英國國家網絡安全中心前負責人夏蘭·馬丁 (Ciaran Martin)表示，“由于勒索軟件組織構成的巨大威脅和破壞沒有任何停止的跡象，現在是時候弄清楚如何讓勒索軟件支付禁令發揮作用了。”

他在《倫敦時報》最近的一篇專欄文章中強調，雖然各國政府開始尋找這個問題的答案，但不應立即實施禁令，首要是弄清楚如何讓這條禁令在實際中能夠充分發揮作用。

隨著勒索軟件持續擾亂從能源輸送和政府服務，甚至涉及兒童醫院和制藥企業民生行業，此類呼吁變得更加緊迫。

對于有多少受害者選擇支付贖金，各機構統計的結果不盡相同。2022 年底，網絡安全公司 Proofpoint報告稱，受勒索軟件感染的組織中有 58% 支付了贖金。勒索軟件事件響應公司 Coveware 報告稱，2023 年最后3個月，平均有 29% 的受害者 支付了贖金，而網絡保險公司 Corvus 的結果顯示這一數字為 27%。

即使西方政府一直在投入更多資源來提高國內組織的抵御能力，但根據區塊鏈分析公司 Chainaanalysis 的數據，勒索軟件組織去年攻擊的已知受害者數量比以往任何時候都多，同時收到的加密貨幣贖金總額至少也達到了破紀錄的 11 億美元。

禁令旨在追求長期效果

Recorded Future 的勒索軟件研究員艾倫·利斯卡 (Allan Liska) 認為，禁止支付贖金將是痛苦的，如果以史為鑒，可能會導致勒索軟件攻擊的短期增加，但似乎這是唯一有可能取得長期成功的解決方案；Emsisoft 威脅分析師布雷特·卡洛 (Brett Callow) 也認為，禁止勒索贖金可能會激勵犯罪分子采取其他破壞性較小的策略。但他也指出，只要勒索軟件支付仍然合法，網絡犯罪分子就會不擇手段地收取贖金，唯一的解決方案是通過完全禁止支付，從經濟上抑制攻擊，在這一點上，禁令是唯一可能有效的方法。

盡管美國北卡羅來納州和佛羅里達州政府已禁止公共實體支付贖金，但專家表示，針對這些實體的勒索軟件數量并未減少。

2021 年 4 月，IST 成立了勒索軟件工作組，以更好地協調公共和私人打擊勒索軟件。雖然所有成員都考慮禁止支付贖金，但都不建議現在就將該方法落實。從攻擊者的角度來看，如果受害者不付款，并不意味著攻擊失敗。對他們來說，竊取有價值的數據足以激勵他們繼續進行攻擊。對受害企業而言，贖金禁令還可能導致它們減少與執法部門的信息共享。

此外，企業還關心禁令在未來不同階段究竟會帶來哪些效應，因此，闡明禁令如何發揮作用似乎是解決此類擔憂的關鍵下一步。

目前，工作組的8位聯合主席已經制定了一種分階段的方法來實現贖金禁令，其中詳細列出了 15 個先決條件，包括生態系統準備、威懾、破壞和響應。詳細的內容將有望在今年春天發布。