中間人

Rachel Monroe

去年感恩節(jié)過后幾天

庫蒂斯·明德（KurtisMinder）收到了一條信息，發(fā)信人在紐約州北部運(yùn)營的小型建筑工程公司遭到了黑客攻擊。明德和他的安全公司GroupSense現(xiàn)在經(jīng)常收到這類電話和電子郵件，其中不少都帶著恐慌。某家釀酒廠、印刷廠或網(wǎng)頁設(shè)計(jì)公司的員工早上上班后發(fā)現(xiàn)所有的電腦文檔都被鎖住，還會(huì)有一則通知要求他們用加密貨幣形式支付贖金以解鎖這些文件。

有些通知寫得咄咄逼人：“不要把我們當(dāng)傻子，我們對你的了解比你對自己的了解還多?！庇行﹦t漫不經(jīng)心：“哎呀，你的重要文件被加密了！”有些假裝歉意：“我們很遺憾，你所有的文件均已被加密?！币恍┩ㄖ拇朕o把勒索行為描述成合法的商業(yè)交易，就好像黑客幫助他們進(jìn)行了一次安全審計(jì)：“先生們！你們的業(yè)務(wù)面臨嚴(yán)重風(fēng)險(xiǎn)，貴公司的安全系統(tǒng)中有一個(gè)重大漏洞?！?/p>

這些通知中通常會(huì)包括一個(gè)鏈接，指向暗網(wǎng)的某個(gè)網(wǎng)站——所謂暗網(wǎng)，就是在互聯(lián)網(wǎng)中需要特殊軟件才能訪問的區(qū)域，人們會(huì)在那里從事一些不可告人的事情。受害者打開該網(wǎng)站時(shí)，會(huì)有一個(gè)時(shí)鐘跳出來，標(biāo)明他們交贖金的時(shí)限。時(shí)鐘開始滴答作響，就像動(dòng)作片中連接炸彈的計(jì)時(shí)器，令人有種不祥的預(yù)感。網(wǎng)站上還有一個(gè)聊天窗口，可以與黑客對話。

過去一年中，勒索軟件攻擊的激增讓這段時(shí)間的焦慮狀況雪上加霜。12月，美國聯(lián)邦網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局的代理局長稱，勒索軟件“正在迅速上升為一種國家緊急狀態(tài)”。黑客們攻擊了疫苗制造商和研究實(shí)驗(yàn)室，醫(yī)院無法得到化療方案，學(xué)區(qū)取消了課程。那些還在匆忙適應(yīng)全遠(yuǎn)程辦公方式的公司又發(fā)現(xiàn)他們在黑客面前不堪一擊。5月，勒索軟件組織“黑暗面（DarkSide）”攻擊了向東海岸大部分地區(qū)供應(yīng)燃料的科洛尼爾管道（Colonial Pipeline）公司，迫使該公司關(guān)閉了網(wǎng)絡(luò)。這次斷網(wǎng)事件促使汽油價(jià)格升高并引發(fā)了一連串的恐慌性購買，也讓人們關(guān)注到勒索軟件令關(guān)鍵基礎(chǔ)設(shè)施癱瘓的潛在可能。攻擊發(fā)生一周后，科洛尼爾公司支付了440萬美元的贖金并讓系統(tǒng)重新上線，但是華盛頓特區(qū)80%的加油站仍然沒有燃油供應(yīng)。

黑客攻擊事件不斷增多給庫蒂斯·明德的職業(yè)生涯帶來更多機(jī)會(huì)。

聯(lián)邦調(diào)查局（F.B.I.）勸告受害者不要與黑客談判，理由是支付贖金會(huì)激勵(lì)犯罪，這讓受害者處于兩難境地。“僅僅告訴一家醫(yī)院不要支付贖金，這種做法讓我感到難以置信，”非營利組織安全與技術(shù)研究所（Institute forSecurity and Technology ）的首席執(zhí)行官菲利普·萊納（Philip Reiner）告訴我，“那你希望他們怎么做呢，干脆關(guān)門大吉讓病人死掉嗎？”不支付贖金的機(jī)構(gòu)或許要花幾個(gè)月的時(shí)間重建他們的系統(tǒng);如果黑客襲擊過程中盜取并泄露了客戶數(shù)據(jù)，受害機(jī)構(gòu)可能會(huì)被監(jiān)管機(jī)構(gòu)罰款。2018年，亞特蘭大市政府沒有支付約5萬美元的贖金，結(jié)果，為了從攻擊中恢復(fù)，他們在危機(jī)公關(guān)、數(shù)字取證和咨詢等方面花了200多萬美元。網(wǎng)絡(luò)安全公司卡巴斯基（Kaspersky）的數(shù)據(jù)顯示，在新聞報(bào)道過的每樁勒索軟件案的背后，都有更多的中小型公司傾向于隱瞞遭到攻擊的事實(shí)，而其中一多半的公司會(huì)付錢給黑客。

在過去的一年里，44歲的明德作為一名勒索軟件談判專家，一直在處理著受害公司與黑客之間的溝通工作，這是一個(gè)幾年前還不存在的職業(yè)。如今共6位勒索軟件談判專家和他們常合作的保險(xiǎn)公司一起，幫助受害者們在網(wǎng)絡(luò)勒索的世界中找到方向。但也有人指責(zé)他們?yōu)楦犊罱o黑客提供了便利，是在教唆犯罪。不過，由于勒索軟件越來越多，他們并不缺客戶。溫和而樸實(shí)、說著話經(jīng)常自嘲地笑起來的明德意外成了專家。“跟你說話這會(huì)兒工夫，我又接到了兩個(gè)電話?！?月份有一次我們視頻聊天的時(shí)候他告訴我。

11月份跟他聯(lián)系的那個(gè)男人解釋說，這次攻擊是一個(gè)名叫“REvil（邪惡）”的軟件勒索黑客集團(tuán)所為，公司的合同和建筑圖紙都被鎖上打不開了;這些文檔一天不解鎖，員工就一天無法工作。“他們竟然連一名負(fù)責(zé)IT的員工都沒有?！泵鞯抡f，“公司也沒有購買網(wǎng)絡(luò)安全保險(xiǎn)。”那個(gè)人還說，他曾經(jīng)聯(lián)系過佛羅里達(dá)州的一家保證能幫他解開文檔的公司，但對方已經(jīng)不再回復(fù)他的電子郵件。他希望明德能跟黑客進(jìn)行談判，并拿到解密的密鑰?！奥?lián)系我的人都心煩意亂，”明德告訴我，“他們非常、非常不安?！?h3>小時(shí)候，明德曾經(jīng)去過父親工作的地方

那是在伊利諾伊州中部的一家磨坊，他看著父親扛起50磅重的面粉袋。在州政府工作的母親則坐在有空調(diào)的辦公室里喝咖啡。他不太明白她具體是做什么的，只知道看起來好像要經(jīng)常打字。“我當(dāng)時(shí)就想，不管那個(gè)打字的工作是什么，那就是我想干的?！泵鞯赂嬖V我。

90年代初大學(xué)畢業(yè)后，他在當(dāng)?shù)匾患一ヂ?lián)網(wǎng)服務(wù)公司找到了一份技術(shù)支持的工作。一年之內(nèi)，他就被提升為助理系統(tǒng)管理員，密切關(guān)注服務(wù)器日志是他的職責(zé)之一。他開始注意到某個(gè)奇怪的模式，并最終意識到那是黑客入侵的證據(jù)?！八麄儠?huì)利用我們的路由器作為一個(gè)我們現(xiàn)在所謂的‘樞轉(zhuǎn)點(diǎn)，就是說他們攻擊別人之前會(huì)先在我們這里跳轉(zhuǎn)一下，讓攻擊看起來像是我們發(fā)出的，”他說，“那些攻擊者通常都是些業(yè)余愛好者，他們的興趣更多在于炫耀自己的技術(shù)而非造成真正的破壞。”明德發(fā)現(xiàn)，和他們斗智斗勇并且用技能打敗他們能獲得深深的滿足感。

到那時(shí)，黑客們已經(jīng)證明他們能夠造成嚴(yán)重的破壞。1989年，世界各地的兩萬名公共衛(wèi)生研究人員都收到了一張據(jù)稱包括一個(gè)艾滋病資訊程序的軟盤，但是那張軟盤中還包含一個(gè)被視為首個(gè)勒索軟件的惡意程序。用戶重新啟動(dòng)電腦90次后，屏幕上出現(xiàn)了一個(gè)文本框，通知他們電腦里的文檔已經(jīng)被鎖住，然后他們的打印機(jī)吐出一張贖金紙條，要求他們給巴拿馬的一個(gè)郵政信箱寄去189美元。這個(gè)后來被稱為“艾滋病木馬”的惡意軟件是由哈佛大學(xué)出身的進(jìn)化生物學(xué)家約瑟夫·波普（Joseph Popp）制造的。波普被捕后行為變得越來越古怪，被判定為不宜出庭受審;后來，他在紐約州北部設(shè)立了一個(gè)蝴蝶保護(hù)區(qū)。

波普的策略——用私人密鑰將文檔加密并索要解鎖費(fèi)用——經(jīng)常被現(xiàn)在的勒索軟件團(tuán)伙所應(yīng)用。但黑客們最初更傾向于采用一種名為“恐嚇軟件（Scareware）”的方法，他們會(huì)用一種病毒感染計(jì)算機(jī)，中毒表現(xiàn)是屏幕上會(huì)不斷彈出帶有可怕信息的窗口：“安全警告，你的隱私和安全正處于危險(xiǎn)之中！”這些彈窗會(huì)讓用戶購買某種殺毒軟件來保護(hù)他們的系統(tǒng)。冒充軟件公司的黑客隨后就可以收到信用卡付款，但使用勒索軟件的黑客不能接受信用卡交易。在2000年初期，勒索軟件的黑客通常會(huì)要求受害者以禮品卡或預(yù)付借記卡的形式支付幾百美元，拿到這些錢需要有中間商，而且大部分利潤都被中間商抽走了。

隨著2009年比特幣的推出，這種情況也發(fā)生了變化?，F(xiàn)在人們可以在不暴露身份的情況下接受數(shù)字付款，勒索軟件也變得更加有利可圖。2014年，明德在弗吉尼亞州的阿靈頓（Arlington）創(chuàng)立GroupSense時(shí)，每個(gè)人認(rèn)知里的網(wǎng)絡(luò)安全威脅就是數(shù)據(jù)泄露，也就是盜取諸如銀行賬戶信息或社會(huì)安全號碼等消費(fèi)者數(shù)據(jù)的行為。明德雇用了會(huì)說俄語、烏克蘭語和烏爾都語的分析師，他們冒充網(wǎng)絡(luò)犯罪分子，潛伏在暗網(wǎng)的交易市場上，觀察著有誰在出售從企業(yè)網(wǎng)絡(luò)中竊取的信息。但是，隨著安全系統(tǒng)的不斷升級，數(shù)據(jù)泄露也變得更加困難，轉(zhuǎn)而使用勒索軟件的網(wǎng)絡(luò)犯罪分子越來越多。據(jù)聯(lián)邦調(diào)查局估計(jì)，到2015年，美國境內(nèi)每天會(huì)發(fā)生1000起勒索軟件黑客攻擊，次年，這個(gè)數(shù)字翻了4倍。網(wǎng)絡(luò)安全保險(xiǎn)公司Resilience的理賠負(fù)責(zé)人邁克· 菲利普斯（Mike Phillips）告訴我：“現(xiàn)在首當(dāng)其沖的只有勒索軟件，其他類型的攻擊都差得很遠(yuǎn)?！?/p>

大多數(shù)勒索軟件攻擊的背后都有犯罪集團(tuán)操縱。線上互動(dòng)時(shí)，他們兼具青少年的姿態(tài)與專業(yè)人員的特質(zhì)：他們對視頻游戲里的詞語和“邪惡”一詞情有獨(dú)鐘，但也采用了一種日益復(fù)雜的商業(yè)結(jié)構(gòu)。規(guī)模較大的團(tuán)伙建立了客服中心以幫助受害者一步步完成支付加密貨幣的復(fù)雜流程，并承諾給及時(shí)付款的人打折。包括REvil在內(nèi)的一些勒索軟件集團(tuán)采用加盟模式，他們?yōu)楹诳吞峁┎渴鸸舻墓ぞ?，并收取利潤抽成。（REvil還代表其加盟機(jī)構(gòu)進(jìn)行贖金談判。）“這種模式實(shí)施起來太容易了，”安全與技術(shù)研究所的萊納告訴我，“你或者我都能做——就是業(yè)務(wù)出租，整個(gè)過程已經(jīng)商品化到了不可思議的程度?！?/p>

為了侵入一家公司的計(jì)算機(jī)，黑客們會(huì)使出各種技術(shù)手段，比如在電子郵件的附件中嵌入惡意程序，或者用偷來的密碼登入員工用于連接公司網(wǎng)絡(luò)的遠(yuǎn)程桌面。許多黑客集團(tuán)的總部都設(shè)在俄羅斯或其它前蘇聯(lián)共和國，有時(shí)他們的惡意軟件中會(huì)包含代碼，可以停止攻擊語言被設(shè)置為俄語、白俄羅斯語或?yàn)蹩颂m語的計(jì)算機(jī)。一些黑客集團(tuán)雇用了現(xiàn)任或退伍軍人，但他們似乎更關(guān)心金錢，而不是地緣政治陰謀。“我們對政治不感興趣，”一名自稱是REvil集團(tuán)代表的男子在接受一位俄羅斯視頻博主采訪時(shí)說道，“完全不碰政治。我們不關(guān)心誰當(dāng)總統(tǒng)。我們以前干活，現(xiàn)在干活，以后還是干活?！?/p>

菲利普斯告訴我：“支付贖金的時(shí)候，你會(huì)擔(dān)心這筆錢會(huì)成為世界另一端暗網(wǎng)硅谷的風(fēng)險(xiǎn)投資?！边@些勒索軟件集團(tuán)像正版硅谷一樣，正在快速行動(dòng)，打破陳規(guī)。2017年5月，黑客集團(tuán)“想要哭（WannaCry）”通過未打補(bǔ)丁的舊版本微軟視窗（Windows）操作系統(tǒng)攻擊了30萬臺(tái)電腦。在英國，救護(hù)車只能繞開那些電腦系統(tǒng)受到影響的醫(yī)院，一家雷諾汽車工廠甚至被迫暫時(shí)停產(chǎn)。不過，就在那次攻擊發(fā)生3年后，REvil的代表認(rèn)為這種漫無目標(biāo)的方法是“一次非常愚蠢的試驗(yàn)”?！跋胍蕖钡暮诳蛡兯饕内H金只有300到600美元，最后凈賺了大約14萬美元。

“想要哭”之后的勒索軟件集團(tuán)把目標(biāo)集中在一些安全措施不力同時(shí)又無法容忍業(yè)務(wù)中斷的行業(yè)，這樣更有可能勒索成功，也更加有利可圖——比如產(chǎn)業(yè)化農(nóng)業(yè)、中等規(guī)模制造業(yè)、油田服務(wù)業(yè)和市級政府。犯罪集團(tuán)還將實(shí)施破壞行為的時(shí)間定在最容易受害的時(shí)段：在8月學(xué)生即將返校前夕攻擊學(xué)校;在報(bào)稅期攻擊會(huì)計(jì)師事務(wù)所。某些集團(tuán)專門瞄準(zhǔn)“大型獵物”，對財(cái)力雄厚的公司發(fā)動(dòng)有針對性的攻擊。利用哈迪斯（Hades）勒索軟件進(jìn)行攻擊的黑客集團(tuán)把目標(biāo)限定在報(bào)告收入10億美元之上的企業(yè)。另一個(gè)組織則為每一次攻擊行動(dòng)專門定制惡意軟件。2019年，在歐洲執(zhí)法機(jī)構(gòu)“歐洲刑警組織（Europol）”舉辦的一次網(wǎng)絡(luò)研討會(huì)上，一位安全專家提到：加密貨幣門羅幣（Monero）基本上是無法追蹤的。不久之后，REvil開始要求使用門羅幣取代比特幣支付贖金。

如果有公司不太愿意談判，高管們就會(huì)收到威脅的電話和領(lǐng)英（LinkedIn）私信。去年，金巴利集團(tuán)（Campari Group）發(fā)布了一份新聞稿，淡化了近期遭到勒索軟件攻擊的嚴(yán)重性。作為回應(yīng)，黑客們在Facebook上發(fā)起了廣告活動(dòng)，利用他們也曾攻擊過的某個(gè)芝加哥流行音樂節(jié)目主持人的個(gè)人資料羞辱了金巴利集團(tuán)這一飲品業(yè)巨頭?！斑@很荒唐，而且看起來像是一個(gè)巨大的謊言，”他們寫道，“我們可以確認(rèn)有機(jī)密數(shù)據(jù)被盜，而且我們說的是海量數(shù)據(jù)。”去年，南美某個(gè)家庭用品連鎖店的打印機(jī)突然打不出收據(jù)，而是打出了索要贖金的通知。

最近，黑客集團(tuán)在他們的操作手冊中加入了敲詐一項(xiàng)。他們在給系統(tǒng)加密之前先抽取機(jī)密文件，如果他們的贖金要求得不到滿足，他們會(huì)威脅向媒體公布敏感數(shù)據(jù)或在黑市上拍賣。黑客們曾威脅要公布一位高管的色情收藏品并把拒不付款的受害者的信息分享給賣空投資者?！拔乙娺^一些社會(huì)工作機(jī)構(gòu)被勒索軟件的黑客威脅要曝光弱勢兒童的信息?！狈评账拐f。

在勒索軟件占據(jù)明德的生活之前

他已經(jīng)習(xí)慣了按部就班地過日子。他步行上班，通常是最早到最晚走。回家路上他會(huì)找一家咖啡店進(jìn)去喝杯酒，吃點(diǎn)沙拉?；氐姜?dú)自居住的公寓后，他會(huì)在書桌前工作，直到睡著。他的主要社交活動(dòng)是當(dāng)?shù)氐哪ν熊嚲銟凡?，即華盛頓大都會(huì)寶馬摩托車手俱樂部。

去年年初，GroupSense發(fā)現(xiàn)了黑客入侵一家大公司系統(tǒng)的跡象。明德向該公司發(fā)出了警告，但一臺(tái)服務(wù)器已經(jīng)被攻破。黑客向該公司發(fā)出了一份索要贖金的通知，威脅要把文件公之于眾。那家公司問明德是否能夠負(fù)責(zé)贖金談判。起初，他并沒有同意——“我從來沒覺得自己有這個(gè)本事?！彼f——但最終他還是被說服了。

為了爭取時(shí)間，明德建議那家公司先確認(rèn)收到了贖金通知。他開始學(xué)習(xí)談判技巧，觀看“大師開課（MasterClass）”的網(wǎng)絡(luò)教程并閱讀前人質(zhì)談判專家的書籍。他學(xué)到了還價(jià)時(shí)應(yīng)該避免使用整數(shù)，因?yàn)闀?huì)顯得太隨便，而且他不應(yīng)該在沒有給出正當(dāng)理由的情況下妥協(xié)。在接下來的幾周里，與那個(gè)黑客的對話逐漸展開之后，明德發(fā)現(xiàn)自己有談判的天賦。那個(gè)黑客似乎和主要的勒索軟件集團(tuán)都沒有關(guān)聯(lián)，明德盡最大努力和他搭話，當(dāng)黑客抱怨他為了侵入那個(gè)公司的系統(tǒng)投入了多少時(shí)間和精力時(shí)，明德稱贊了他的技術(shù)：“我告訴他：‘你是個(gè)非常有才的黑客，所以我們愿意為此付給你錢，但我們給不出你要的數(shù)目?！?/p>

這場談判開始變得耗時(shí)耗力，和女友騎摩托車露營的途中，明德還在篝火旁抱著筆記本電腦用3G熱點(diǎn)繼續(xù)跟黑客對話，最終，那個(gè)黑客同意了一個(gè)那家公司的保險(xiǎn)公司可以接受的價(jià)格?！叭绻銈冊俳o我一點(diǎn)時(shí)間，我想我可以跟他把價(jià)錢談到更低。”明德回憶自己當(dāng)時(shí)是這么說的，但網(wǎng)絡(luò)安全保險(xiǎn)公司說：“這樣已經(jīng)足夠好了?！?/p>

明德很快遇到了更多這類工作。有時(shí)是某家面臨數(shù)百萬美元勒索的著名公司，談判耗時(shí)數(shù)周;有時(shí)是某個(gè)小企業(yè)，或者某個(gè)非營利組織，這種情況下他會(huì)義務(wù)幫忙并試圖在周末搞定。但GroupSense很少通過談判賺錢。有些勒索軟件的談判者會(huì)收取贖金折扣額的一部分作為酬勞?！暗切┱嬲苜嵉藉X的方法很容易遭到欺詐，或者被指控為欺詐，”明德說。相反，他按小時(shí)收費(fèi)，并希望他幫助的一些機(jī)構(gòu)能夠注冊使用GroupSense的核心產(chǎn)品——安全監(jiān)控軟件。

去年三月，GroupSense的辦公室關(guān)閉后，明德在他475平方英尺的公寓里踱著步子轉(zhuǎn)圈。“我當(dāng)時(shí)想，我需要去徒步?！彼f。他把兩輛摩托車拖到科羅拉多州大章克申（GreatJunction）一個(gè)租來的房子那里。世界分崩離析之時(shí)，勒索軟件案件源源不斷。明德自己處理談判事宜，他不想讓員工分心，而且他發(fā)現(xiàn)這項(xiàng)工作需要一定的情感技巧。“我們的大多數(shù)員工都非常偏技術(shù)型，但這不是一種技術(shù)技能，而是一種軟技能，”他告訴我，“很難通過培訓(xùn)獲得。”

最初的信息溝通至關(guān)重要。代表自己談判的人傾向于斥責(zé)黑客，但那樣做只會(huì)激怒對方。明德的目標(biāo)是傳達(dá)一種溫暖而傲慢的態(tài)度——“就好像，我們是朋友，但其實(shí)你根本不知道你在做什么。”他解釋道。他的女朋友會(huì)說羅馬尼亞語、俄語、烏克蘭語和一些立陶宛語，并幫助他找到了能設(shè)定正確基調(diào)的口語說法。他喜歡把黑客們叫做kuznechik，這個(gè)俄語詞匯的意思是“螞蚱”。

偶爾，明德也會(huì)被叫去嘗試挽救那些已經(jīng)快要崩盤的談判。如果黑客覺得談判的進(jìn)度太慢，或者感覺到對方跟自己撒了謊，他們可能會(huì)完全中斷溝通。遵照曾在聯(lián)邦調(diào)查局擔(dān)任人質(zhì)談判專家，如今擔(dān)任談判顧問的克里斯·沃斯（Chris Voss ）的建議，明德嘗試通過模仿黑客的語言模式來建立一種“戰(zhàn)術(shù)共鳴”。

大多數(shù)時(shí)候，明德會(huì)發(fā)現(xiàn)自己是在跟一個(gè)黑客集團(tuán)的代表打交道。“第一個(gè)跟你對話的人相當(dāng)于那種初級技術(shù)支持，”他說，“他們會(huì)說一些‘我很想和你合作，但我必須得到我經(jīng)理的批準(zhǔn)才能給你這個(gè)折扣之類的話?！?/p>

GroupSense與區(qū)塊鏈分析公司Cipher-Trace是合作伙伴，所以某個(gè)特定的數(shù)字貨幣錢包被創(chuàng)建之后明德可以看到，并能夠追蹤其交易。測定流入一個(gè)錢包的平均付款額可以讓他了解現(xiàn)行匯率以避免支付過高的費(fèi)用。他開始明白，那些勒索集團(tuán)都是按照固定的話術(shù)流程操作?！昂芏鄷r(shí)候，在談判開始之前我們就能去告訴客戶接著會(huì)發(fā)生什么?！彼嬖V我。

客戶本身有時(shí)也不是省油的燈。明德與黑客進(jìn)行所有通訊前都會(huì)先通過一個(gè)安全的門戶網(wǎng)站詢問客戶的意見：有些人想要編輯發(fā)給黑客的每一條信息，“對他們來說，這就像一場間諜游戲?！泵鞯抡f;其他人則在憤怒或挫敗中爆發(fā)，“有時(shí)候你是同時(shí)在跟雙方談判——黑客方和受害者方，”他說?！澳惚仨殦碛幸环N既能與對方感同身受，又能用不對抗的方式給出指示的性格特征?！?/p>

明德已經(jīng)看到，高壓戰(zhàn)術(shù)和贖金金額正在一發(fā)不可收拾。根據(jù)勒索軟件救援服務(wù)商Coveware的數(shù)據(jù)顯示，2018年，平均支付的贖金數(shù)額約為7000美元。在2019年，這個(gè)數(shù)字增長到4.1萬美元。那一年，一個(gè)大型勒索軟件集團(tuán)宣布解散，他們在不到兩年的時(shí)間里獲得了20億美元的贖金。“我們就是做了壞事也能逍遙法外的實(shí)證。”這個(gè)集團(tuán)在告別信中寫道。到2020年，支付的贖金平均已超過20萬美元，一些網(wǎng)絡(luò)安全保險(xiǎn)公司開始退出市場?！拔矣X得那些保險(xiǎn)公司并不真正了解他們所承擔(dān)的風(fēng)險(xiǎn)，”萊納告訴我，“2020年的數(shù)字真的很糟糕，但是到了2020年底，大家四下看了看之后都說，2021年會(huì)更糟糕。”

1971年，阿根廷某肉類加工廠的一名英國籍經(jīng)理被一個(gè)游擊小隊(duì)抓走了

過了幾周，他的雇主支付了2.5萬美元的贖金之后，他被放了回來。第二年，一家電子公司為贖回一位被綁架的高管支付了兩倍的贖金。1973年，中美洲的商人不斷遭到綁架，他們的贖金也以驚人的速度增長。可口可樂（Coca-Cola）付了100萬美元;柯達(dá)（Kodak）付了150萬美元;英美煙草（British American Tobacco）付了170萬美元;費(fèi)爾斯通（Firestone ）付了300萬美元。一位首席執(zhí)行官以230萬美元的價(jià)格被贖回，兩年后他再次遭到綁架時(shí)，贖金價(jià)格已經(jīng)上升到1000萬美元。隨后，一家跨國食品加工集團(tuán)的兩位繼承人胡安和豪爾赫·博恩（Juan and Jorge Born）被一群假扮成電話工和警察并用假路牌設(shè)套的匪徒抓走，最后把他們贖回花了6000萬美元，外加分給窮人的價(jià)值100萬美元的衣服和食物。在哥倫比亞工作的一位美國經(jīng)理人古斯塔沃·柯蒂斯（Gustavo Curtis ）在1976年被綁架前不久剛聽他的雇主說過：“身為高管，一定程度上就意味著要承擔(dān)被綁架的風(fēng)險(xiǎn)?！?/p>

在人類歷史的大部分時(shí)間里，綁架大多屬于地方性事件，在一定程度上都會(huì)遵循某種禮節(jié)并以互惠為前提。全球化、政局混亂與日益加劇的不平等顛覆了這些規(guī)范。在意大利，犯罪團(tuán)伙既綁架有錢的外國人，也綁架農(nóng)民的孩子，某一年有80個(gè)人被綁架以勒索贖金。約翰·保羅·蓋蒂（John Paul Getty）拒絕為他遭綁架的孫子支付超出可扣稅額度的贖金——據(jù)說這個(gè)額度是300萬美元。

1932年林德伯格（Lindbergh）嬰兒綁架謀殺案之后出現(xiàn)的“綁架勒索保險(xiǎn)”業(yè)務(wù)量激增。1970年，該領(lǐng)域的市場規(guī)模約為15萬美元，到1976年，已經(jīng)達(dá)到7000萬美元。大多數(shù)保單都是在世界主流的專業(yè)保險(xiǎn)市場“倫敦勞合社（Lloyds of London）”簽署的。很快，出現(xiàn)了向投保人提供防范綁架建議的風(fēng)險(xiǎn)分析師，提供現(xiàn)場保護(hù)的私人保安公司以及真的出了事之后接手處理的專業(yè)談判人員。

1975年，英國特種部隊(duì)的一些退役人員創(chuàng)建了“控制風(fēng)險(xiǎn)（Control Risks）”公司，旨在幫助保險(xiǎn)業(yè)處理綁架問題。該公司的管理者以一種貴族式的謹(jǐn)慎態(tài)度開展工作。1977年，公司的兩名創(chuàng)始人在哥倫比亞被捕——當(dāng)時(shí)沒人能確定這個(gè)新生的談判行業(yè)是否合法——在10周的拘留期內(nèi)，他們給自己的公司撰寫了一份行為準(zhǔn)則。（這兩人后來被證明無罪。）

約有四分之三的財(cái)富500強(qiáng)公司最終會(huì)花錢購買綁架勒索保險(xiǎn)，但對于這個(gè)給黑手黨、恐怖組織和犯罪團(tuán)伙輸送資金并從中獲利的行業(yè)，人們總是感到有些不舒服?！按蠹叶加X得你們不應(yīng)該賺太多錢?！?979年，控制風(fēng)險(xiǎn)公司的一位聯(lián)合創(chuàng)始人告訴《泰晤士報(bào)》，“意大利、哥倫比亞和英國都已經(jīng)禁止了綁架勒索保險(xiǎn)?！?/p>

不過，倫敦國王學(xué)院（King 's CollegeLondon ）的政治經(jīng)濟(jì)學(xué)教授安雅· 肖特蘭（Anja Shortland ）告訴我，私有化的綁架中介機(jī)構(gòu)正是建立它所謂的“贖金紀(jì)律”的關(guān)鍵?？刂骑L(fēng)險(xiǎn)公司不僅進(jìn)行贖金談判，它還提供安全審計(jì)，先一步向公司提供防止員工被綁架的建議。保險(xiǎn)公司給那些加強(qiáng)安全措施從而降低了綁架總體發(fā)生率的公司削減了保費(fèi)數(shù)額，如果綁架確實(shí)發(fā)生了，熟練的談判人員會(huì)防止贖金要求走向失控。如今，大約90%的綁架案都能得到解決，并且通常是通過支付贖金的方式解決，如果有專家參與，成功率會(huì)上升到97%。在那些禁止綁架保險(xiǎn)的國家，談判會(huì)秘密進(jìn)行。

肖特蘭的主要研究方向是犯罪經(jīng)濟(jì)學(xué)?！敖?jīng)濟(jì)學(xué)中有很多情況是：讓我們假設(shè)排除掉所有的復(fù)雜情況，這樣我們就可以得到一個(gè)易處理的問題，”她告訴我，“而我只是直面了那些復(fù)雜情況?！睘榱烁玫乩斫饨壖芾账餍袠I(yè)，她仔細(xì)研究了索馬里的海盜和綁架市場，在那里她看到了私人保險(xiǎn)公司、顧問和談判者如何在這個(gè)通常被描述為毫無規(guī)矩的行業(yè)中培養(yǎng)出某種可預(yù)測性。就像一位談判者告訴她的那樣：“這些事都是有節(jié)奏、有規(guī)律的?！?/p>

肖特蘭告訴我，這種基于相互信任的假設(shè)而形成的秩序性對各方都有利：綁架者得到了預(yù)期的回報(bào)率;被綁架者可以合理地期望他們能被完好無損地釋放;危險(xiǎn)地區(qū)的公司可以假設(shè)他們的員工不會(huì)遭到綁架，但如果他們真的被綁架了，也幾乎肯定不會(huì)被殺害;而保險(xiǎn)公司和顧問也可以收取各自的費(fèi)用。

Coveware公司的聯(lián)合創(chuàng)始人比爾·西格爾（Bill Siegel）告訴我，勒索軟件的“沖擊力”比綁架小，意思是說，不會(huì)有人給你寄來一只切掉的耳朵。但是，對一個(gè)經(jīng)濟(jì)學(xué)家來說，這些差異微乎其微?！八麄冋趧?chuàng)建的機(jī)構(gòu)與當(dāng)年綁架勒索群體創(chuàng)建的機(jī)構(gòu)非常類似，”肖特蘭說，“只不過他們晚了大約80年?！?h3>由于勒索軟件案明顯沒有放緩態(tài)勢

明德培訓(xùn)了他手下的兩名員工來處理談判事宜，其中一位是邁克· 福勒（Mike Fowler），他曾是北卡羅來納州的一名緝毒警。臥底工作教會(huì)了福勒如何扮演不同角色，他告訴我：“這是成為一名有效談判者的重要能力?！?/p>

去年11月，福勒被指派擔(dān)任那家建筑工程公司的談判代表。當(dāng)他登入暗網(wǎng)時(shí)注意到計(jì)時(shí)器顯示談判已經(jīng)進(jìn)行了3天。聊天框中一場對話正在進(jìn)行?！斑@讓我很震驚，”福勒說，“我看到的是一場完整的談判，雖然談得很差，但是很完整?！?/p>

代表工程公司聊天的一方持對抗且激進(jìn)的態(tài)度，當(dāng)黑客要求拿到20萬美元來解鎖公司的文件時(shí)，談判者起初還價(jià)1萬美元，然后迅速提高到1.4萬美元，然后是2.5萬美元。“這種溝通方式給勒索者傳遞的信息是：他們還有更多錢?！备＠照f道。黑客們越來越不耐煩，“你們公布的年收入是400萬美元，”他們寫道，“我們不只想要這點(diǎn)小錢?！绷奶斓淖詈笠粭l信息是兩天前黑客們發(fā)來的：“你們準(zhǔn)備好以6.5萬美元的價(jià)格成交了嗎？”

福勒和明德試圖拼湊出到底發(fā)生了什么，客戶堅(jiān)持說他們從來沒登入過暗網(wǎng)，更沒有與黑客互動(dòng)過。然后，福勒提醒明德，REvil集團(tuán)的博客最近有一篇文章警告大家提防騙子中介，這些中介號稱可以解密文件，但實(shí)際上他們會(huì)和黑客秘密談判拿到解密文件，然后加價(jià)提供給受害方。當(dāng)時(shí)明德還覺得，一個(gè)網(wǎng)絡(luò)犯罪集團(tuán)居然還發(fā)布防騙警告，這件事太逗了，但是現(xiàn)在客戶承認(rèn)他們聯(lián)系過一家位于佛羅里達(dá)的公司“怪物云（MonsterCloud）”，該公司宣傳自己是“世界領(lǐng)先的網(wǎng)絡(luò)恐怖主義與勒索軟件恢復(fù)專家”?！肮治镌啤痹诠倬W(wǎng)上鼓勵(lì)受害者使用其清除勒索軟件的服務(wù)，而不是支付贖金。這個(gè)推銷理由對于工程公司的負(fù)責(zé)人來說或許很有說服力，“他們非常、非常愛國，”明德告訴我，“他們寧愿付錢給佛羅里達(dá)的一家軟件公司”，也不愿向外國犯罪集團(tuán)支付贖金，“這一點(diǎn)我毫不驚訝”。

明德很快了解到，REvil的黑客索要6.5萬美元之后不久，“怪物云”的一名代表告訴該工程公司，他們能夠以14.5萬美元的價(jià)格恢復(fù)這些文件。（“怪物云”拒絕對本文發(fā)表評論。）

據(jù)獨(dú)立調(diào)查機(jī)構(gòu)ProPublica的一項(xiàng)調(diào)查顯示：“怪物云”長期以來都在與黑客集團(tuán)進(jìn)行秘密談判。ProPublica采訪了一些過往的客戶，這些客戶都相信他們的文件是在沒有支付贖金的情況下被解密的，盡管從相關(guān)勒索軟件的情況來看這種結(jié)果是極不可能發(fā)生的;這些軟件絕大多數(shù)都不可能被解密，除非代碼中存在錯(cuò)誤。只有少數(shù)幾家總部設(shè)在美國的數(shù)據(jù)恢復(fù)公司似乎在遵循類似的商業(yè)模式，“怪物云”就是其中之一。這些公司聲稱能夠使用高科技工具將文件解密，從而讓他們的客戶相信，不向犯罪集團(tuán)支付贖金也可以解決勒索軟件產(chǎn)生的問題——這種策略對于“怪物云”的一些公立機(jī)關(guān)客戶如市政府或執(zhí)法部門特別有吸引力。勒索軟件團(tuán)伙也承認(rèn)，數(shù)據(jù)恢復(fù)公司能夠成為一起賺錢的合作伙伴，有一個(gè)團(tuán)伙還專門為這些公司提供了一個(gè)促銷碼?！肮治镌啤本芙^與ProPublica討論他們的工作方法?！拔覀冊陉幱袄锔苫?，”公司首席執(zhí)行官佐哈爾·平哈西（Zohar Pinhasi）告訴對方，“我們怎么做到的是我們的事，反正你的數(shù)據(jù)都能找回來，不如坐穩(wěn)、放松、享受這個(gè)過程就行了。”

明德向他的客戶說明了情況，那個(gè)人不禁破口大罵起來。由于談判已經(jīng)失敗，明德幾乎沒有機(jī)會(huì)說服黑客同意一個(gè)更低的價(jià)格?？蛻糇屆鞯赂嬖V黑客們“去死吧”，但明德說他“禮貌地拒絕了”。這家公司于是嘗試從備份和舊郵件中找回一些文件。明德建議客戶調(diào)查一下漏洞是如何產(chǎn)生的，但是他們似乎并不感興趣?！八麄冋f他們的IT人員自有見解。”

明德向聯(lián)邦貿(mào)易委員會(huì)（Federal TradeCommission）舉報(bào)了“怪物云”公司，但這件事仍讓他耿耿于懷?！叭绻阍诠雀枭纤阉鳌畮臀覕[脫勒索軟件或者‘如何回應(yīng)勒索軟件，你搜出來的都是這些投機(jī)倒把或者偽造形象來欺詐別人的公司，”他說，“我只是覺得很惡心。”

去年10月，財(cái)政部海外資產(chǎn)控制辦公室

（The TreasuryDepartm e n t ' sOffice of ForeignAssets Control）發(fā)布了一份針對談判人員、網(wǎng)絡(luò)安全保險(xiǎn)公司和事件應(yīng)對小組的公告，警告他們或許會(huì)因?yàn)閰f(xié)同向犯罪分子付款而被罰款。

“他們這個(gè)做法很糟糕，”推特（Twitter）公司前任首席信息安全官邁克· 康維迪諾（Mike Convertino）告訴我，“也許他們確實(shí)感到挫敗，但在我看來這樣有點(diǎn)不負(fù)責(zé)任。我們面對現(xiàn)實(shí)吧，如果有一家價(jià)值20億美元的公司，文件被鎖住了，又沒有妥善備份，那么他們唯一的出路也被剝奪了。所以，你剛剛摧毀了一個(gè)價(jià)值20億美元的公司?！保ㄔ摴嫠坪跗鸬搅俗饔茫涸?020年最后一個(gè)季度，選擇支付贖金的勒索軟件受害者數(shù)量有所下降。）

為了應(yīng)對，康維迪諾現(xiàn)在的雇主——網(wǎng)絡(luò)安全保險(xiǎn)公司Resilience加入了一個(gè)勒索軟件工作組，該工作組隸屬于安全與技術(shù)研究所，成員包括主要網(wǎng)絡(luò)安全供應(yīng)商、事件響應(yīng)公司以及聯(lián)邦調(diào)查局和國土安全部的代表?！安灰沐e(cuò)，我們的建議并不是關(guān)于如何消除勒索軟件的威脅。”網(wǎng)絡(luò)安全公司帕洛阿爾托網(wǎng)絡(luò)（Palo Alto Networks ）的副總裁約翰·戴維斯（John Davis）在一次線上活動(dòng)中這樣說，相反，他們的目標(biāo)是讓威脅降低到一個(gè)“可以更為有效地管理的水平”。這些建議要求受害者向當(dāng)局報(bào)告支付贖金的情況，并設(shè)立一個(gè)基金以援助那些無法支付贖金的受害者。4月，司法部宣布正在組建自己的勒索軟件工作組，以便在私營機(jī)構(gòu)、其他聯(lián)邦機(jī)構(gòu)和國際合作伙伴之間進(jìn)行協(xié)調(diào)。

與此同時(shí)，勒索軟件集團(tuán)一直在致力于維護(hù)他們的形象。曾經(jīng)攻擊過科洛尼爾管道公司網(wǎng)絡(luò)系統(tǒng)的黑客集團(tuán)“黑暗面”已經(jīng)承諾不會(huì)攻擊學(xué)校、醫(yī)院、殯儀館或非營利組織，他們只以大企業(yè)為目標(biāo)。10月，“黑暗面”發(fā)布新聞稿宣布他們剛剛向兩個(gè)慈善機(jī)構(gòu)捐贈(zèng)了1萬美元的加密貨幣。“無論你們認(rèn)為我們的做法有多惡劣，我們都很高興知道，有人的生活在我們的幫助下得到了改善?！彼麄冞@樣寫道。但是導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施停止運(yùn)轉(zhuǎn)的行為引起了更高級別的重視以及執(zhí)法機(jī)關(guān)的大力打擊?！昂诎得妗睂υ斐傻钠茐谋硎镜狼福⑶蚁褚粋€(gè)受到譴責(zé)的科技公司一樣，承諾會(huì)更加注重自我節(jié)制，以避免未來產(chǎn)生社會(huì)后果。幾天后，該集團(tuán)宣布其服務(wù)器已被關(guān)閉，比特幣錢包也被清空，或許暗示了執(zhí)法機(jī)關(guān)已經(jīng)有所行動(dòng)。REvil似乎也被負(fù)面公關(guān)嚇到了，于是宣布將不再攻擊政府、醫(yī)療和教育部門等目標(biāo)。

肖特蘭認(rèn)為這種打造品牌的行為是一件好事。“如果這是一群完全不可靠的人，那我可能會(huì)感到絕望，”她告訴我，“但能夠?yàn)槠放浦氲娜藨?yīng)該還會(huì)繼續(xù)這樣做?！焙诳蛡冴P(guān)心他們的名譽(yù)，這是市場可控的跡象。這并不意味著勒索軟件會(huì)消失——至少從刑事綁架案件的先例來看并不會(huì)?！翱傆幸豢罱壖苓m合你”她說。