你的公司遭受了勒索軟件攻擊，現(xiàn)在必須決定是否支付贖金以獲取數(shù)據(jù)解密、從攻擊者的服務(wù)器中刪除或不在網(wǎng)上泄露。

這個(gè)決定將取決于多種因素，但根據(jù)GuidePoint Security的說法，其中一個(gè)重要因素應(yīng)該是實(shí)施攻擊的勒索軟件運(yùn)營(yíng)商的整體成熟度和知名度。

不成熟的勒索軟件組織：一個(gè)獨(dú)特的威脅

雖然全球各地的執(zhí)法機(jī)構(gòu)和政府建議組織不要支付贖金，但我們都知道，盡管知道支付可能不會(huì)帶來希望解決的問題，許多組織仍然會(huì)這么做。

GuidePoint的研究人員提供了額外的建議：“考慮勒索軟件團(tuán)伙及其運(yùn)營(yíng)商的已知?dú)v史、信譽(yù)和可信度，以便做出有關(guān)支付或不支付贖金的明智決定?！?/p>

與像LockBit、Alphv或Black Basta這樣的成熟RaaS組織不同，不成熟、機(jī)會(huì)主義的團(tuán)體更有可能撒謊，重新勒索受害者，且不提供功能正常的恢復(fù)工具(例如解密器)。

“我們注意到重新勒索可能是出于貪婪，但也可能是為了掩蓋技術(shù)缺陷，比如無法解密加密文件——如果威脅行為者可以繼續(xù)要求支付，直到受害者拒絕為止，就有一個(gè)合理的解釋可以避免暴露技術(shù)不足的行為者，”他們指出。

基于以往的經(jīng)驗(yàn)和與同行的討論，研究人員發(fā)現(xiàn)，雖然成熟的RaaS團(tuán)體努力建立穩(wěn)固的聲譽(yù)，以便受害者更有可能支付團(tuán)體及其附屬機(jī)構(gòu)要求的高額贖金，但規(guī)模較小、知名度較低的團(tuán)體則沒有太多動(dòng)力去遵守他們?cè)O(shè)定的規(guī)則。

機(jī)會(huì)主義的勒索軟件運(yùn)營(yíng)商通常更有可能：

?針對(duì)較小、防御不足的受害者(比如中小企業(yè))

?通過較不復(fù)雜的技術(shù)手段進(jìn)入公司系統(tǒng)(如暴露的端口、被泄露的憑證、釣魚、暴力破解而非零日利用)

?使用基礎(chǔ)或“二手”基礎(chǔ)設(shè)施(包括談判基礎(chǔ)設(shè)施)、泄露或破解的工具，沒有專門的泄露網(wǎng)站，也沒有資源或時(shí)間來執(zhí)行額外的威脅(向受影響的客戶打電話、重復(fù)攻擊等)

?對(duì)他們的能力撒謊(解密加密數(shù)據(jù)、訪問特定文件、數(shù)據(jù)竊取)

?要求較小的贖金金額 / 在談判后大幅降低金額，但經(jīng)常不守信用，之后要求更多

研究人員分享了涉及Phobos和DATA LOCKER團(tuán)體/分支機(jī)構(gòu)的特定案例研究，這些團(tuán)體/分支機(jī)構(gòu)在協(xié)商贖金金額后似乎特別傾向于重新勒索。

“由于沒有品牌需要建立或維護(hù)，或者名字可以隨時(shí)更改，對(duì)于不成熟的勒索軟件團(tuán)體來說，重新勒索受害者直到他們拒絕進(jìn)一步支付幾乎沒有什么風(fēng)險(xiǎn)。關(guān)于這個(gè)話題的社區(qū)信息共享很少，這類威脅行為者通常吸引較少的安全報(bào)道或?qū)彶椋毖芯咳藛T指出。

他們還提出，”在為勒索軟件事件進(jìn)行威脅建?；蝽憫?yīng)計(jì)劃時(shí)，應(yīng)將無品牌或不成熟的勒索軟件團(tuán)體視為一種與較大、更成熟的勒索軟件團(tuán)體不同的獨(dú)立威脅。”