勒索瓶?FBI说,不要付钱给它

联邦调查局封锁FBI 2016年9月15日赎金瓶公共服务公告

赎金软件命中时是否应该做什么?FBI说:(a)向执法报告,(b)不支付赎金。鉴于最近在赎金软件攻击中进行的冲击 - 例如2016年的变体损失了估计的100,000台计算机,日本公司应该考虑他们的事件响应计划如何应对赎金软件的决策,并在其接下来的情况下包括此方案(或者临时)桌面模拟。

联邦调查局公共服务公告

在9月15日公告中,联邦调查局敦促公司提出并向执法袭击兰福威尔州。FBI承认,由于各种原因付费或数据备用恢复服务。

尽管有这些动态,联邦调查局呼吁公司在战斗中帮助:“受害者报告提供了对威胁的更加了解,提供了执法,为赎金软件调查提供了理由,并为正在进行的赎金厂案件提供相关信息。”

联邦调查局还提供了一些最佳实践,即公司应考虑将其纳入他们的网络安全计划和/或其灾难恢复和业务连续性计划。这些建议包括:定期备份,验证,确保备份,防病毒和反恶意软件解决方案的实施,增加了员工意识培训,最小特权政策的原则制度,以及更多的

如何以及何于报告

对法律执行最有帮助的是攻击工具,签名和配置文件身份信息。该公告制定了公司应考虑向本地FBI联系人提供的信息类别或通过互联网犯罪投诉中心(IC3)门户,公司可以利用的自动报告系统轻松迅速地报告攻击:

  1. 感染日期
  2. ransomware变体(在赎金页面上标识或加密文件扩展名)
  3. 受害者公司信息(工业类型,商业规模等)
  4. 感染如何发生(在电子邮件中的链接,浏览互联网等)
  5. 要求赎金金额
  6. 演员的比特币钱包地址(可以在赎金页面上列出)
  7. 支付赎金金额(如果有的话)
  8. 与勒索软件感染相关的总体损失(包括赎金金额)
  9. 受害者影响声明

不要支付赎金要求

“FBI不支持支付赎金需求。”据联邦调查局介绍,一些公司从来没有获得解密密钥,即使在付款后也是如此。而且,每次付款都是“使对手塑造争夺其他受害者的利润,”在寻求财务收益的其他罪犯激励类似的行为。

也就是说,联邦调查局承认高管必须采取行动,保护股东,员工和客户,其中勒索软件严重威胁核心运营和服务。为了在这方面协助公司,宣布奠定了许多主动风险缓解措施

关键的外卖

  • 监管机构正在加入公司主动地换句话。例如,卫生部和人类服务近期表示赎金软件攻击可能构成HIPAA / Hitech制度下的须讨论违规行为。头部联邦贸易委员会最近警告过已知由勒索软件利用的修补程序漏洞可能违反FTC ACT的第5节。鉴于这种监管气候,可能会审查未能与执法实施的公司。的确,A.FTC助理主任去年在博客岗位中解释that the agency will look at whether the company “cooperated with criminal and other law enforcement agencies in their efforts to apprehend the people responsible for the intrusion,” and that a cooperating company will be viewed “more favorably than a company that hasn’t cooperated.” Companies should pay particular attention to the recommendations made by the FBI, and should anticipate that regulators will consider whether, and to what extent, companies have followed the FBI’s recommendations in their own enforcement investigations/proceedings.
  • 你会支付,在什么情况下?支付赎金需求的决定在很大程度上取决于情况。公司应仔细考虑谁在事件响应团队中,以及执行和业务团队中的谁将参与做出这一决定。今天应该理解数据库备份和不可用的操作影响,因此可以快速有效地制定决策,并考虑到风险缓解。并记住管理人员有一个保险义务对公司来说,并必须考虑如何履行这些义务,以保持公司在保留其资产的同时运作。
  • 公司应该决定他们现在将如何与执法部门互动,建立将决定何时联系的门槛,谁将伸出援手,以何种方式分享,以什么格式。有很多原因 - 超过了由联邦调查局引用的人 - 为什么公司可能不愿意向执法者联系:合作增加了违约所在的风险,这种特权或工作产品保护可能会丢失,这可能会丧失reporting may incite retribution by the attackers, or that the scope of law enforcement’s investigation may expand beyond the breach. Executive leadership should be prepped on the protocols for law enforcement engagement. Pre-approved sign off processes and authority should be identified now, so that companies can move quickly at the onset of an incident.