ALPHV/BlackCat 盯上受害者：近期勒索软件动态

重点摘要

• ALPHV/BlackCat 通过举报受害者 MeridianLink 给美国证券交易委员会（SEC）的事件，再次为勒索软件经济的变化提供了新的视角。
• 随着 SEC 即将生效的新披露规定，预计此类举报行为将成为勒索软件攻击的新常态。
• 大多数公司支付赎金后，往往会再次成为攻击目标，并面临法律后果。
• 面对勒索软件攻击，组织应该提前识别关键系统，并增强其抗击能力。

近日，ALPHV/BlackCat 向 举报受害者 MeridianLink的消息，令不少人感到震惊，但在不断变化的勒索软件经济体系中，这种行为并不足为奇。SEC 意外地收到有关攻击的线索…而线索的提供者正是攻击者本人。

我总是说，如果想预测网络犯罪分子下一步的动作，可以关注他们如何在追求最大利润、最小时间成本、毫无道德约束的同时，还能避开政府的不当监管。这一策略恰恰契合了这个形势。这并不是新鲜事：勒索者威胁揭发受害者，如果其拒绝支付赎金。

根据 的新披露规定，将于 12 月 15日生效，要求公司在四天内报告“重要”的网络安全事件，预计这一举报战术将在勒索软件攻击中成为常态。SEC 将拥有一支并不是出于利他主义的“助手”队伍。

一些人可能认为，这一激进举动可能让该组织成为美国执法机构的目标。若他们希望保持盈利优势，吸引不必要的关注并非明智之举。但我不认为这会使
ALPHV/BlackCat 更加引起联邦政府的注意；我们必须假设 SEC或相关机构已经在监控暗网曝光网站，以了解组织发布的数据。ALPHV/BlackCat 可能只是确认了 SEC 已知的情况。

总体而言，除非涉及生死攸关的情形，否则支付赎金是没有意义的。事实上，大多数支付赎金的公司往往遭遇二次甚至三次攻击。同时，支付赎金也可能带来法律后果：2021年，位于阿拉巴马州莫比尔的一家医院因未能通知一患者相关的勒索软件攻击而面临诉讼，结果造成一名婴儿死亡，家属在诉讼中声称该死亡是由于医疗设备因袭击而离线造成的。

当勒索软件攻击登上头条时，提醒受害者注意在黑暗的尽头仍有光明是至关重要的。毫无疑问，勒索软件攻击能够严重削弱某些组织的功能。然而，在目标丰富的环境中，防御者可以通过增强防范措施，使勒索软件运营者难以进行攻击，从而迫使其转向更软弱的目标。

组织需要在攻击发生之前，明确其关键系统（包括身份基础设施，如 ），并增强其韧性。为不可避免的事件做好准备，因为90%的组织在过去两年中经历过至少一次勒索软件攻击。通过事先准备，防御者可以将自身组织打造成一座难以攻陷的堡垒，让黑客们选择其他更容易的目标。

肖恩·杜比（Sean Deuby），Semperis 首席技术专家