勒索病毒工作组最新报告分析

关键要点

• 勒索病毒工作组（RTF）在其名为“一年后的回顾”的新报告中指出，关于勒索病毒的数据普遍不可靠。
• 安全供应商和保险公司对勒索事件的看法存在明显矛盾，反映出各方对勒索病毒活动的认识差异。
• 关于勒索病毒攻击趋势的缺乏共识，阻碍了对抗该疫情的有效措施。
• 部分国家正在讨论实施数据泄露报告要求，以提高勒索病毒事件的监测和情报收集。

在发布了发人深省的首次报告13个月后，勒索病毒工作组（Ransomware TaskForce，RTF）发布了新的报告，标题为“一年后的回顾”，该报告深入探讨了对勒索病毒进展的评估，并承认一个残酷的事实：无论信息来源如何，关于勒索病毒的数据都不可靠。

在过去的一年中，各国政府认识到勒索病毒对供应链造成的影响，因此RTF在政策讨论中扮演了全球性智囊团的角色。这其中部分原因是团队成员复杂多样，从政府官员到供应商、保险公司到受害者、学术界到工业界都有参与。部分原因则是时机巧合：该小组在针对东海岸的勒索攻击报告发布前一周完成了其初次报告。

过去一年里，他们的一些政策建议和其他创意得以实施，但衡量这些措施的效果却十分困难。

“缺乏对整体攻击趋势的清晰认识和一致意见，凸显了理解和应对勒索病毒危机的重大挑战，即报告的不足和不一致性。”——《一年后的回顾》

勒索病毒威胁的矛盾认知

如果询问、勒索谈判者或追踪犯罪钱包的区块链分析公司，他们会告诉你，过去一年勒索事件有所增加。然而，若询问政府或保险公司，他们则会表示事件数量要么下降，要么停滞不前。这种矛盾的观点源于不同团体对勒索病毒团伙活动的有限认识。

RTF共同主席、Rapid7公共事务副总裁Jen Ellis在接受SC Media采访时表示：“只有那些深入所有勒索病毒团伙的人，才能真正掌握这些知识。”

政府主要通过受害者向执法机关的报告来获取勒索病毒趋势的洞察，而联邦调查局（FBI）早已指出，这些数据往往不完整。组织通常担心向政府报告可能带来的声誉和法律后果。保险公司则根据索赔情况评估勒索事件，但索赔数据易受多种因素影响。同时，勒索病毒关联者一度特别针对有保险的客户，原因是他们获得了稳定的赔付，而如果策略有所变化，无保险受害者的数据则无法在报告统计中体现。

Ellis还提到，供应商社群基于响应发生的事件来计算统计数据，这一数据取决于市场份额及企业在遭遇攻击后是否愿意使用服务。区块链分析依赖易于追踪的加密货币，如果攻击者选择不再使用匿名的冷门币而转向比特币，则统计数字可能会波动。同时，区块链分析持续发现新的犯罪钱包，这可能意味着更高的勒索总额是由于研究人员在提高可见性上的努力，而非勒索事件的增加。

勒索病毒应对：紧迫感何在？

缺乏确凿的数据让我们难以判断勒索事件的趋势是上升还是下降。

Ellis表示：“随着时间的推移，我们希望看到定量数据与定性数据的比较。我认为，我们无法忽视经验性证据的价值——我们必须与人们保持沟通，以了解他们的经历。但我们也需要定量数据来进行测量。”

多国政府已制定或正在讨论实施泄露报告要求，迫使任何遭遇[泄露的受害者](https://www.scworld.com/analysis/zero-
trust/breach-reporting-re