Rachel Monroe

去年感恩節(jié)過后幾天

庫蒂斯·明德（KurtisMinder）收到了一條信息，發(fā)信人在紐約州北部運營的小型建筑工程公司遭到了黑客攻擊。明德和他的安全公司GroupSense現(xiàn)在經(jīng)常收到這類電話和電子郵件，其中不少都帶著恐慌。某家釀酒廠、印刷廠或網(wǎng)頁設(shè)計公司的員工早上上班后發(fā)現(xiàn)所有的電腦文檔都被鎖住，還會有一則通知要求他們用加密貨幣形式支付贖金以解鎖這些文件。

有些通知寫得咄咄逼人：“不要把我們當傻子，我們對你的了解比你對自己的了解還多?！庇行﹦t漫不經(jīng)心：“哎呀，你的重要文件被加密了！”有些假裝歉意：“我們很遺憾，你所有的文件均已被加密。”一些通知的措辭把勒索行為描述成合法的商業(yè)交易，就好像黑客幫助他們進行了一次安全審計：“先生們！你們的業(yè)務(wù)面臨嚴重風(fēng)險，貴公司的安全系統(tǒng)中有一個重大漏洞?！?/p>

這些通知中通常會包括一個鏈接，指向暗網(wǎng)的某個網(wǎng)站——所謂暗網(wǎng)，就是在互聯(lián)網(wǎng)中需要特殊軟件才能訪問的區(qū)域，人們會在那里從事一些不可告人的事情。受害者打開該網(wǎng)站時，會有一個時鐘跳出來，標明他們交贖金的時限。時鐘開始滴答作響，就像動作片中連接炸彈的計時器，令人有種不祥的預(yù)感。網(wǎng)站上還有一個聊天窗口，可以與黑客對話。

過去一年中，勒索軟件攻擊的激增讓這段時間的焦慮狀況雪上加霜。12月，美國聯(lián)邦網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局的代理局長稱，勒索軟件“正在迅速上升為一種國家緊急狀態(tài)”。黑客們攻擊了疫苗制造商和研究實驗室，醫(yī)院無法得到化療方案，學(xué)區(qū)取消了課程。那些還在匆忙適應(yīng)全遠程辦公方式的公司又發(fā)現(xiàn)他們在黑客面前不堪一擊。5月，勒索軟件組織“黑暗面（DarkSide）”攻擊了向東海岸大部分地區(qū)供應(yīng)燃料的科洛尼爾管道（Colonial Pipeline）公司，迫使該公司關(guān)閉了網(wǎng)絡(luò)。這次斷網(wǎng)事件促使汽油價格升高并引發(fā)了一連串的恐慌性購買，也讓人們關(guān)注到勒索軟件令關(guān)鍵基礎(chǔ)設(shè)施癱瘓的潛在可能。攻擊發(fā)生一周后，科洛尼爾公司支付了440萬美元的贖金并讓系統(tǒng)重新上線，但是華盛頓特區(qū)80%的加油站仍然沒有燃油供應(yīng)。

黑客攻擊事件不斷增多給庫蒂斯·明德的職業(yè)生涯帶來更多機會。

聯(lián)邦調(diào)查局（F.B.I.）勸告受害者不要與黑客談判，理由是支付贖金會激勵犯罪，這讓受害者處于兩難境地。“僅僅告訴一家醫(yī)院不要支付贖金，這種做法讓我感到難以置信，”非營利組織安全與技術(shù)研究所（Institute forSecurity and Technology ）的首席執(zhí)行官菲利普·萊納（Philip Reiner）告訴我，“那你希望他們怎么做呢，干脆關(guān)門大吉讓病人死掉嗎？”不支付贖金的機構(gòu)或許要花幾個月的時間重建他們的系統(tǒng);如果黑客襲擊過程中盜取并泄露了客戶數(shù)據(jù)，受害機構(gòu)可能會被監(jiān)管機構(gòu)罰款。2018年，亞特蘭大市政府沒有支付約5萬美元的贖金，結(jié)果，為了從攻擊中恢復(fù)，他們在危機公關(guān)、數(shù)字取證和咨詢等方面花了200多萬美元。網(wǎng)絡(luò)安全公司卡巴斯基（Kaspersky）的數(shù)據(jù)顯示，在新聞報道過的每樁勒索軟件案的背后，都有更多的中小型公司傾向于隱瞞遭到攻擊的事實，而其中一多半的公司會付錢給黑客。

在過去的一年里，44歲的明德作為一名勒索軟件談判專家，一直在處理著受害公司與黑客之間的溝通工作，這是一個幾年前還不存在的職業(yè)。如今共6位勒索軟件談判專家和他們常合作的保險公司一起，幫助受害者們在網(wǎng)絡(luò)勒索的世界中找到方向。但也有人指責(zé)他們?yōu)楦犊罱o黑客提供了便利，是在教唆犯罪。不過，由于勒索軟件越來越多，他們并不缺客戶。溫和而樸實、說著話經(jīng)常自嘲地笑起來的明德意外成了專家?！案阏f話這會兒工夫，我又接到了兩個電話?！?月份有一次我們視頻聊天的時候他告訴我。

11月份跟他聯(lián)系的那個男人解釋說，這次攻擊是一個名叫“REvil（邪惡）”的軟件勒索黑客集團所為，公司的合同和建筑圖紙都被鎖上打不開了;這些文檔一天不解鎖，員工就一天無法工作?！八麄兙谷贿B一名負責(zé)IT的員工都沒有。”明德說，“公司也沒有購買網(wǎng)絡(luò)安全保險。”那個人還說，他曾經(jīng)聯(lián)系過佛羅里達州的一家保證能幫他解開文檔的公司，但對方已經(jīng)不再回復(fù)他的電子郵件。他希望明德能跟黑客進行談判，并拿到解密的密鑰?！奥?lián)系我的人都心煩意亂，”明德告訴我，“他們非常、非常不安。”

小時候，明德曾經(jīng)去過父親工作的地方

那是在伊利諾伊州中部的一家磨坊，他看著父親扛起50磅重的面粉袋。在州政府工作的母親則坐在有空調(diào)的辦公室里喝咖啡。他不太明白她具體是做什么的，只知道看起來好像要經(jīng)常打字?！拔耶敃r就想，不管那個打字的工作是什么，那就是我想干的?！泵鞯赂嬖V我。

90年代初大學(xué)畢業(yè)后，他在當?shù)匾患一ヂ?lián)網(wǎng)服務(wù)公司找到了一份技術(shù)支持的工作。一年之內(nèi)，他就被提升為助理系統(tǒng)管理員，密切關(guān)注服務(wù)器日志是他的職責(zé)之一。他開始注意到某個奇怪的模式，并最終意識到那是黑客入侵的證據(jù)?！八麄儠梦覀兊穆酚善髯鳛橐粋€我們現(xiàn)在所謂的‘樞轉(zhuǎn)點，就是說他們攻擊別人之前會先在我們這里跳轉(zhuǎn)一下，讓攻擊看起來像是我們發(fā)出的，”他說，“那些攻擊者通常都是些業(yè)余愛好者，他們的興趣更多在于炫耀自己的技術(shù)而非造成真正的破壞?！泵鞯掳l(fā)現(xiàn)，和他們斗智斗勇并且用技能打敗他們能獲得深深的滿足感。

到那時，黑客們已經(jīng)證明他們能夠造成嚴重的破壞。1989年，世界各地的兩萬名公共衛(wèi)生研究人員都收到了一張據(jù)稱包括一個艾滋病資訊程序的軟盤，但是那張軟盤中還包含一個被視為首個勒索軟件的惡意程序。用戶重新啟動電腦90次后，屏幕上出現(xiàn)了一個文本框，通知他們電腦里的文檔已經(jīng)被鎖住，然后他們的打印機吐出一張贖金紙條，要求他們給巴拿馬的一個郵政信箱寄去189美元。這個后來被稱為“艾滋病木馬”的惡意軟件是由哈佛大學(xué)出身的進化生物學(xué)家約瑟夫·波普（Joseph Popp）制造的。波普被捕后行為變得越來越古怪，被判定為不宜出庭受審;后來，他在紐約州北部設(shè)立了一個蝴蝶保護區(qū)。

波普的策略——用私人密鑰將文檔加密并索要解鎖費用——經(jīng)常被現(xiàn)在的勒索軟件團伙所應(yīng)用。但黑客們最初更傾向于采用一種名為“恐嚇軟件（Scareware）”的方法，他們會用一種病毒感染計算機，中毒表現(xiàn)是屏幕上會不斷彈出帶有可怕信息的窗口：“安全警告，你的隱私和安全正處于危險之中！”這些彈窗會讓用戶購買某種殺毒軟件來保護他們的系統(tǒng)。冒充軟件公司的黑客隨后就可以收到信用卡付款，但使用勒索軟件的黑客不能接受信用卡交易。在2000年初期，勒索軟件的黑客通常會要求受害者以禮品卡或預(yù)付借記卡的形式支付幾百美元，拿到這些錢需要有中間商，而且大部分利潤都被中間商抽走了。

隨著2009年比特幣的推出，這種情況也發(fā)生了變化。現(xiàn)在人們可以在不暴露身份的情況下接受數(shù)字付款，勒索軟件也變得更加有利可圖。2014年，明德在弗吉尼亞州的阿靈頓（Arlington）創(chuàng)立GroupSense時，每個人認知里的網(wǎng)絡(luò)安全威脅就是數(shù)據(jù)泄露，也就是盜取諸如銀行賬戶信息或社會安全號碼等消費者數(shù)據(jù)的行為。明德雇用了會說俄語、烏克蘭語和烏爾都語的分析師，他們冒充網(wǎng)絡(luò)犯罪分子，潛伏在暗網(wǎng)的交易市場上，觀察著有誰在出售從企業(yè)網(wǎng)絡(luò)中竊取的信息。但是，隨著安全系統(tǒng)的不斷升級，數(shù)據(jù)泄露也變得更加困難，轉(zhuǎn)而使用勒索軟件的網(wǎng)絡(luò)犯罪分子越來越多。據(jù)聯(lián)邦調(diào)查局估計，到2015年，美國境內(nèi)每天會發(fā)生1000起勒索軟件黑客攻擊，次年，這個數(shù)字翻了4倍。網(wǎng)絡(luò)安全保險公司Resilience的理賠負責(zé)人邁克· 菲利普斯（Mike Phillips）告訴我：“現(xiàn)在首當其沖的只有勒索軟件，其他類型的攻擊都差得很遠?！?/p>

大多數(shù)勒索軟件攻擊的背后都有犯罪集團操縱。線上互動時，他們兼具青少年的姿態(tài)與專業(yè)人員的特質(zhì)：他們對視頻游戲里的詞語和“邪惡”一詞情有獨鐘，但也采用了一種日益復(fù)雜的商業(yè)結(jié)構(gòu)。規(guī)模較大的團伙建立了客服中心以幫助受害者一步步完成支付加密貨幣的復(fù)雜流程，并承諾給及時付款的人打折。包括REvil在內(nèi)的一些勒索軟件集團采用加盟模式，他們?yōu)楹诳吞峁┎渴鸸舻墓ぞ?，并收取利潤抽成。（REvil還代表其加盟機構(gòu)進行贖金談判。）“這種模式實施起來太容易了，”安全與技術(shù)研究所的萊納告訴我，“你或者我都能做——就是業(yè)務(wù)出租，整個過程已經(jīng)商品化到了不可思議的程度?！?/p>

為了侵入一家公司的計算機，黑客們會使出各種技術(shù)手段，比如在電子郵件的附件中嵌入惡意程序，或者用偷來的密碼登入員工用于連接公司網(wǎng)絡(luò)的遠程桌面。許多黑客集團的總部都設(shè)在俄羅斯或其它前蘇聯(lián)共和國，有時他們的惡意軟件中會包含代碼，可以停止攻擊語言被設(shè)置為俄語、白俄羅斯語或烏克蘭語的計算機。一些黑客集團雇用了現(xiàn)任或退伍軍人，但他們似乎更關(guān)心金錢，而不是地緣政治陰謀?！拔覀儗φ尾桓信d趣，”一名自稱是REvil集團代表的男子在接受一位俄羅斯視頻博主采訪時說道，“完全不碰政治。我們不關(guān)心誰當總統(tǒng)。我們以前干活，現(xiàn)在干活，以后還是干活?！?/p>

菲利普斯告訴我：“支付贖金的時候，你會擔(dān)心這筆錢會成為世界另一端暗網(wǎng)硅谷的風(fēng)險投資?！边@些勒索軟件集團像正版硅谷一樣，正在快速行動，打破陳規(guī)。2017年5月，黑客集團“想要哭（WannaCry）”通過未打補丁的舊版本微軟視窗（Windows）操作系統(tǒng)攻擊了30萬臺電腦。在英國，救護車只能繞開那些電腦系統(tǒng)受到影響的醫(yī)院，一家雷諾汽車工廠甚至被迫暫時停產(chǎn)。不過，就在那次攻擊發(fā)生3年后，REvil的代表認為這種漫無目標的方法是“一次非常愚蠢的試驗”。“想要哭”的黑客們索要的贖金只有300到600美元，最后凈賺了大約14萬美元。

“想要哭”之后的勒索軟件集團把目標集中在一些安全措施不力同時又無法容忍業(yè)務(wù)中斷的行業(yè)，這樣更有可能勒索成功，也更加有利可圖——比如產(chǎn)業(yè)化農(nóng)業(yè)、中等規(guī)模制造業(yè)、油田服務(wù)業(yè)和市級政府。犯罪集團還將實施破壞行為的時間定在最容易受害的時段：在8月學(xué)生即將返校前夕攻擊學(xué)校;在報稅期攻擊會計師事務(wù)所。某些集團專門瞄準“大型獵物”，對財力雄厚的公司發(fā)動有針對性的攻擊。利用哈迪斯（Hades）勒索軟件進行攻擊的黑客集團把目標限定在報告收入10億美元之上的企業(yè)。另一個組織則為每一次攻擊行動專門定制惡意軟件。2019年，在歐洲執(zhí)法機構(gòu)“歐洲刑警組織（Europol）”舉辦的一次網(wǎng)絡(luò)研討會上，一位安全專家提到：加密貨幣門羅幣（Monero）基本上是無法追蹤的。不久之后，REvil開始要求使用門羅幣取代比特幣支付贖金。

如果有公司不太愿意談判，高管們就會收到威脅的電話和領(lǐng)英（LinkedIn）私信。去年，金巴利集團（Campari Group）發(fā)布了一份新聞稿，淡化了近期遭到勒索軟件攻擊的嚴重性。作為回應(yīng)，黑客們在Facebook上發(fā)起了廣告活動，利用他們也曾攻擊過的某個芝加哥流行音樂節(jié)目主持人的個人資料羞辱了金巴利集團這一飲品業(yè)巨頭?！斑@很荒唐，而且看起來像是一個巨大的謊言，”他們寫道，“我們可以確認有機密數(shù)據(jù)被盜，而且我們說的是海量數(shù)據(jù)。”去年，南美某個家庭用品連鎖店的打印機突然打不出收據(jù)，而是打出了索要贖金的通知。

最近，黑客集團在他們的操作手冊中加入了敲詐一項。他們在給系統(tǒng)加密之前先抽取機密文件，如果他們的贖金要求得不到滿足，他們會威脅向媒體公布敏感數(shù)據(jù)或在黑市上拍賣。黑客們曾威脅要公布一位高管的色情收藏品并把拒不付款的受害者的信息分享給賣空投資者。“我見過一些社會工作機構(gòu)被勒索軟件的黑客威脅要曝光弱勢兒童的信息?！狈评账拐f。

在勒索軟件占據(jù)明德的生活之前

他已經(jīng)習(xí)慣了按部就班地過日子。他步行上班，通常是最早到最晚走?；丶衣飞纤麜乙患铱Х鹊赀M去喝杯酒，吃點沙拉?；氐姜氉跃幼〉墓⒑?，他會在書桌前工作，直到睡著。他的主要社交活動是當?shù)氐哪ν熊嚲銟凡?，即華盛頓大都會寶馬摩托車手俱樂部。

去年年初，GroupSense發(fā)現(xiàn)了黑客入侵一家大公司系統(tǒng)的跡象。明德向該公司發(fā)出了警告，但一臺服務(wù)器已經(jīng)被攻破。黑客向該公司發(fā)出了一份索要贖金的通知，威脅要把文件公之于眾。那家公司問明德是否能夠負責(zé)贖金談判。起初，他并沒有同意——“我從來沒覺得自己有這個本事?！彼f——但最終他還是被說服了。

為了爭取時間，明德建議那家公司先確認收到了贖金通知。他開始學(xué)習(xí)談判技巧，觀看“大師開課（MasterClass）”的網(wǎng)絡(luò)教程并閱讀前人質(zhì)談判專家的書籍。他學(xué)到了還價時應(yīng)該避免使用整數(shù)，因為會顯得太隨便，而且他不應(yīng)該在沒有給出正當理由的情況下妥協(xié)。在接下來的幾周里，與那個黑客的對話逐漸展開之后，明德發(fā)現(xiàn)自己有談判的天賦。那個黑客似乎和主要的勒索軟件集團都沒有關(guān)聯(lián)，明德盡最大努力和他搭話，當黑客抱怨他為了侵入那個公司的系統(tǒng)投入了多少時間和精力時，明德稱贊了他的技術(shù)：“我告訴他：‘你是個非常有才的黑客，所以我們愿意為此付給你錢，但我們給不出你要的數(shù)目。”

這場談判開始變得耗時耗力，和女友騎摩托車露營的途中，明德還在篝火旁抱著筆記本電腦用3G熱點繼續(xù)跟黑客對話，最終，那個黑客同意了一個那家公司的保險公司可以接受的價格。“如果你們再給我一點時間，我想我可以跟他把價錢談到更低?！泵鞯禄貞涀约寒敃r是這么說的，但網(wǎng)絡(luò)安全保險公司說：“這樣已經(jīng)足夠好了?！?/p>

明德很快遇到了更多這類工作。有時是某家面臨數(shù)百萬美元勒索的著名公司，談判耗時數(shù)周;有時是某個小企業(yè)，或者某個非營利組織，這種情況下他會義務(wù)幫忙并試圖在周末搞定。但GroupSense很少通過談判賺錢。有些勒索軟件的談判者會收取贖金折扣額的一部分作為酬勞?！暗切┱嬲苜嵉藉X的方法很容易遭到欺詐，或者被指控為欺詐，”明德說。相反，他按小時收費，并希望他幫助的一些機構(gòu)能夠注冊使用GroupSense的核心產(chǎn)品——安全監(jiān)控軟件。

去年三月，GroupSense的辦公室關(guān)閉后，明德在他475平方英尺的公寓里踱著步子轉(zhuǎn)圈?！拔耶敃r想，我需要去徒步?！彼f。他把兩輛摩托車拖到科羅拉多州大章克申（GreatJunction）一個租來的房子那里。世界分崩離析之時，勒索軟件案件源源不斷。明德自己處理談判事宜，他不想讓員工分心，而且他發(fā)現(xiàn)這項工作需要一定的情感技巧。“我們的大多數(shù)員工都非常偏技術(shù)型，但這不是一種技術(shù)技能，而是一種軟技能，”他告訴我，“很難通過培訓(xùn)獲得?！?/p>

最初的信息溝通至關(guān)重要。代表自己談判的人傾向于斥責(zé)黑客，但那樣做只會激怒對方。明德的目標是傳達一種溫暖而傲慢的態(tài)度——“就好像，我們是朋友，但其實你根本不知道你在做什么?！彼忉尩馈Ｋ呐笥褧f羅馬尼亞語、俄語、烏克蘭語和一些立陶宛語，并幫助他找到了能設(shè)定正確基調(diào)的口語說法。他喜歡把黑客們叫做kuznechik，這個俄語詞匯的意思是“螞蚱”。

偶爾，明德也會被叫去嘗試挽救那些已經(jīng)快要崩盤的談判。如果黑客覺得談判的進度太慢，或者感覺到對方跟自己撒了謊，他們可能會完全中斷溝通。遵照曾在聯(lián)邦調(diào)查局擔(dān)任人質(zhì)談判專家，如今擔(dān)任談判顧問的克里斯·沃斯（Chris Voss ）的建議，明德嘗試通過模仿黑客的語言模式來建立一種“戰(zhàn)術(shù)共鳴”。

大多數(shù)時候，明德會發(fā)現(xiàn)自己是在跟一個黑客集團的代表打交道?！暗谝粋€跟你對話的人相當于那種初級技術(shù)支持，”他說，“他們會說一些‘我很想和你合作，但我必須得到我經(jīng)理的批準才能給你這個折扣之類的話。”

GroupSense與區(qū)塊鏈分析公司Cipher-Trace是合作伙伴，所以某個特定的數(shù)字貨幣錢包被創(chuàng)建之后明德可以看到，并能夠追蹤其交易。測定流入一個錢包的平均付款額可以讓他了解現(xiàn)行匯率以避免支付過高的費用。他開始明白，那些勒索集團都是按照固定的話術(shù)流程操作?！昂芏鄷r候，在談判開始之前我們就能去告訴客戶接著會發(fā)生什么?！彼嬖V我。

客戶本身有時也不是省油的燈。明德與黑客進行所有通訊前都會先通過一個安全的門戶網(wǎng)站詢問客戶的意見：有些人想要編輯發(fā)給黑客的每一條信息，“對他們來說，這就像一場間諜游戲。”明德說;其他人則在憤怒或挫敗中爆發(fā)，“有時候你是同時在跟雙方談判——黑客方和受害者方，”他說?！澳惚仨殦碛幸环N既能與對方感同身受，又能用不對抗的方式給出指示的性格特征?！?/p>

明德已經(jīng)看到，高壓戰(zhàn)術(shù)和贖金金額正在一發(fā)不可收拾。根據(jù)勒索軟件救援服務(wù)商Coveware的數(shù)據(jù)顯示，2018年，平均支付的贖金數(shù)額約為7000美元。在2019年，這個數(shù)字增長到4.1萬美元。那一年，一個大型勒索軟件集團宣布解散，他們在不到兩年的時間里獲得了20億美元的贖金?！拔覀兙褪亲隽藟氖乱材苠羞b法外的實證?！边@個集團在告別信中寫道。到2020年，支付的贖金平均已超過20萬美元，一些網(wǎng)絡(luò)安全保險公司開始退出市場?！拔矣X得那些保險公司并不真正了解他們所承擔(dān)的風(fēng)險，”萊納告訴我，“2020年的數(shù)字真的很糟糕，但是到了2020年底，大家四下看了看之后都說，2021年會更糟糕。”

1971年，阿根廷某肉類加工廠的一名英國籍經(jīng)理被一個游擊小隊抓走了

過了幾周，他的雇主支付了2.5萬美元的贖金之后，他被放了回來。第二年，一家電子公司為贖回一位被綁架的高管支付了兩倍的贖金。1973年，中美洲的商人不斷遭到綁架，他們的贖金也以驚人的速度增長?？煽诳蓸罚–oca-Cola）付了100萬美元;柯達（Kodak）付了150萬美元;英美煙草（British American Tobacco）付了170萬美元;費爾斯通（Firestone ）付了300萬美元。一位首席執(zhí)行官以230萬美元的價格被贖回，兩年后他再次遭到綁架時，贖金價格已經(jīng)上升到1000萬美元。隨后，一家跨國食品加工集團的兩位繼承人胡安和豪爾赫·博恩（Juan and Jorge Born）被一群假扮成電話工和警察并用假路牌設(shè)套的匪徒抓走，最后把他們贖回花了6000萬美元，外加分給窮人的價值100萬美元的衣服和食物。在哥倫比亞工作的一位美國經(jīng)理人古斯塔沃·柯蒂斯（Gustavo Curtis ）在1976年被綁架前不久剛聽他的雇主說過：“身為高管，一定程度上就意味著要承擔(dān)被綁架的風(fēng)險。”

在人類歷史的大部分時間里，綁架大多屬于地方性事件，在一定程度上都會遵循某種禮節(jié)并以互惠為前提。全球化、政局混亂與日益加劇的不平等顛覆了這些規(guī)范。在意大利，犯罪團伙既綁架有錢的外國人，也綁架農(nóng)民的孩子，某一年有80個人被綁架以勒索贖金。約翰·保羅·蓋蒂（John Paul Getty）拒絕為他遭綁架的孫子支付超出可扣稅額度的贖金——據(jù)說這個額度是300萬美元。

1932年林德伯格（Lindbergh）嬰兒綁架謀殺案之后出現(xiàn)的“綁架勒索保險”業(yè)務(wù)量激增。1970年，該領(lǐng)域的市場規(guī)模約為15萬美元，到1976年，已經(jīng)達到7000萬美元。大多數(shù)保單都是在世界主流的專業(yè)保險市場“倫敦勞合社（Lloyds of London）”簽署的。很快，出現(xiàn)了向投保人提供防范綁架建議的風(fēng)險分析師，提供現(xiàn)場保護的私人保安公司以及真的出了事之后接手處理的專業(yè)談判人員。

1975年，英國特種部隊的一些退役人員創(chuàng)建了“控制風(fēng)險（Control Risks）”公司，旨在幫助保險業(yè)處理綁架問題。該公司的管理者以一種貴族式的謹慎態(tài)度開展工作。1977年，公司的兩名創(chuàng)始人在哥倫比亞被捕——當時沒人能確定這個新生的談判行業(yè)是否合法——在10周的拘留期內(nèi)，他們給自己的公司撰寫了一份行為準則。（這兩人后來被證明無罪。）

約有四分之三的財富500強公司最終會花錢購買綁架勒索保險，但對于這個給黑手黨、恐怖組織和犯罪團伙輸送資金并從中獲利的行業(yè)，人們總是感到有些不舒服?！按蠹叶加X得你們不應(yīng)該賺太多錢。”1979年，控制風(fēng)險公司的一位聯(lián)合創(chuàng)始人告訴《泰晤士報》，“意大利、哥倫比亞和英國都已經(jīng)禁止了綁架勒索保險?！?/p>

不過，倫敦國王學(xué)院（King 's CollegeLondon ）的政治經(jīng)濟學(xué)教授安雅· 肖特蘭（Anja Shortland ）告訴我，私有化的綁架中介機構(gòu)正是建立它所謂的“贖金紀律”的關(guān)鍵。控制風(fēng)險公司不僅進行贖金談判，它還提供安全審計，先一步向公司提供防止員工被綁架的建議。保險公司給那些加強安全措施從而降低了綁架總體發(fā)生率的公司削減了保費數(shù)額，如果綁架確實發(fā)生了，熟練的談判人員會防止贖金要求走向失控。如今，大約90%的綁架案都能得到解決，并且通常是通過支付贖金的方式解決，如果有專家參與，成功率會上升到97%。在那些禁止綁架保險的國家，談判會秘密進行。

肖特蘭的主要研究方向是犯罪經(jīng)濟學(xué)。“經(jīng)濟學(xué)中有很多情況是：讓我們假設(shè)排除掉所有的復(fù)雜情況，這樣我們就可以得到一個易處理的問題，”她告訴我，“而我只是直面了那些復(fù)雜情況?！睘榱烁玫乩斫饨壖芾账餍袠I(yè)，她仔細研究了索馬里的海盜和綁架市場，在那里她看到了私人保險公司、顧問和談判者如何在這個通常被描述為毫無規(guī)矩的行業(yè)中培養(yǎng)出某種可預(yù)測性。就像一位談判者告訴她的那樣：“這些事都是有節(jié)奏、有規(guī)律的?！?/p>

肖特蘭告訴我，這種基于相互信任的假設(shè)而形成的秩序性對各方都有利：綁架者得到了預(yù)期的回報率;被綁架者可以合理地期望他們能被完好無損地釋放;危險地區(qū)的公司可以假設(shè)他們的員工不會遭到綁架，但如果他們真的被綁架了，也幾乎肯定不會被殺害;而保險公司和顧問也可以收取各自的費用。

Coveware公司的聯(lián)合創(chuàng)始人比爾·西格爾（Bill Siegel）告訴我，勒索軟件的“沖擊力”比綁架小，意思是說，不會有人給你寄來一只切掉的耳朵。但是，對一個經(jīng)濟學(xué)家來說，這些差異微乎其微。“他們正在創(chuàng)建的機構(gòu)與當年綁架勒索群體創(chuàng)建的機構(gòu)非常類似，”肖特蘭說，“只不過他們晚了大約80年?！?h3>由于勒索軟件案明顯沒有放緩態(tài)勢

明德培訓(xùn)了他手下的兩名員工來處理談判事宜，其中一位是邁克· 福勒（Mike Fowler），他曾是北卡羅來納州的一名緝毒警。臥底工作教會了福勒如何扮演不同角色，他告訴我：“這是成為一名有效談判者的重要能力?！?/p>

去年11月，福勒被指派擔(dān)任那家建筑工程公司的談判代表。當他登入暗網(wǎng)時注意到計時器顯示談判已經(jīng)進行了3天。聊天框中一場對話正在進行。“這讓我很震驚，”福勒說，“我看到的是一場完整的談判，雖然談得很差，但是很完整?！?/p>

代表工程公司聊天的一方持對抗且激進的態(tài)度，當黑客要求拿到20萬美元來解鎖公司的文件時，談判者起初還價1萬美元，然后迅速提高到1.4萬美元，然后是2.5萬美元?！斑@種溝通方式給勒索者傳遞的信息是：他們還有更多錢?！备＠照f道。黑客們越來越不耐煩，“你們公布的年收入是400萬美元，”他們寫道，“我們不只想要這點小錢?！绷奶斓淖詈笠粭l信息是兩天前黑客們發(fā)來的：“你們準備好以6.5萬美元的價格成交了嗎？”

福勒和明德試圖拼湊出到底發(fā)生了什么，客戶堅持說他們從來沒登入過暗網(wǎng)，更沒有與黑客互動過。然后，福勒提醒明德，REvil集團的博客最近有一篇文章警告大家提防騙子中介，這些中介號稱可以解密文件，但實際上他們會和黑客秘密談判拿到解密文件，然后加價提供給受害方。當時明德還覺得，一個網(wǎng)絡(luò)犯罪集團居然還發(fā)布防騙警告，這件事太逗了，但是現(xiàn)在客戶承認他們聯(lián)系過一家位于佛羅里達的公司“怪物云（MonsterCloud）”，該公司宣傳自己是“世界領(lǐng)先的網(wǎng)絡(luò)恐怖主義與勒索軟件恢復(fù)專家”?！肮治镌啤痹诠倬W(wǎng)上鼓勵受害者使用其清除勒索軟件的服務(wù)，而不是支付贖金。這個推銷理由對于工程公司的負責(zé)人來說或許很有說服力，“他們非常、非常愛國，”明德告訴我，“他們寧愿付錢給佛羅里達的一家軟件公司”，也不愿向外國犯罪集團支付贖金，“這一點我毫不驚訝”。

明德很快了解到，REvil的黑客索要6.5萬美元之后不久，“怪物云”的一名代表告訴該工程公司，他們能夠以14.5萬美元的價格恢復(fù)這些文件。（“怪物云”拒絕對本文發(fā)表評論。）

據(jù)獨立調(diào)查機構(gòu)ProPublica的一項調(diào)查顯示：“怪物云”長期以來都在與黑客集團進行秘密談判。ProPublica采訪了一些過往的客戶，這些客戶都相信他們的文件是在沒有支付贖金的情況下被解密的，盡管從相關(guān)勒索軟件的情況來看這種結(jié)果是極不可能發(fā)生的;這些軟件絕大多數(shù)都不可能被解密，除非代碼中存在錯誤。只有少數(shù)幾家總部設(shè)在美國的數(shù)據(jù)恢復(fù)公司似乎在遵循類似的商業(yè)模式，“怪物云”就是其中之一。這些公司聲稱能夠使用高科技工具將文件解密，從而讓他們的客戶相信，不向犯罪集團支付贖金也可以解決勒索軟件產(chǎn)生的問題——這種策略對于“怪物云”的一些公立機關(guān)客戶如市政府或執(zhí)法部門特別有吸引力。勒索軟件團伙也承認，數(shù)據(jù)恢復(fù)公司能夠成為一起賺錢的合作伙伴，有一個團伙還專門為這些公司提供了一個促銷碼。“怪物云”拒絕與ProPublica討論他們的工作方法?！拔覀冊陉幱袄锔苫睿惫臼紫瘓?zhí)行官佐哈爾·平哈西（Zohar Pinhasi）告訴對方，“我們怎么做到的是我們的事，反正你的數(shù)據(jù)都能找回來，不如坐穩(wěn)、放松、享受這個過程就行了?！?/p>

明德向他的客戶說明了情況，那個人不禁破口大罵起來。由于談判已經(jīng)失敗，明德幾乎沒有機會說服黑客同意一個更低的價格。客戶讓明德告訴黑客們“去死吧”，但明德說他“禮貌地拒絕了”。這家公司于是嘗試從備份和舊郵件中找回一些文件。明德建議客戶調(diào)查一下漏洞是如何產(chǎn)生的，但是他們似乎并不感興趣?！八麄冋f他們的IT人員自有見解?！?/p>

明德向聯(lián)邦貿(mào)易委員會（Federal TradeCommission）舉報了“怪物云”公司，但這件事仍讓他耿耿于懷?！叭绻阍诠雀枭纤阉鳌畮臀覕[脫勒索軟件或者‘如何回應(yīng)勒索軟件，你搜出來的都是這些投機倒把或者偽造形象來欺詐別人的公司，”他說，“我只是覺得很惡心?！?h3>去年10月，財政部海外資產(chǎn)控制辦公室

（The TreasuryDepartm e n t ' sOffice of ForeignAssets Control）發(fā)布了一份針對談判人員、網(wǎng)絡(luò)安全保險公司和事件應(yīng)對小組的公告，警告他們或許會因為協(xié)同向犯罪分子付款而被罰款。

“他們這個做法很糟糕，”推特（Twitter）公司前任首席信息安全官邁克· 康維迪諾（Mike Convertino）告訴我，“也許他們確實感到挫敗，但在我看來這樣有點不負責(zé)任。我們面對現(xiàn)實吧，如果有一家價值20億美元的公司，文件被鎖住了，又沒有妥善備份，那么他們唯一的出路也被剝奪了。所以，你剛剛摧毀了一個價值20億美元的公司?！保ㄔ摴嫠坪跗鸬搅俗饔茫涸?020年最后一個季度，選擇支付贖金的勒索軟件受害者數(shù)量有所下降。）

為了應(yīng)對，康維迪諾現(xiàn)在的雇主——網(wǎng)絡(luò)安全保險公司Resilience加入了一個勒索軟件工作組，該工作組隸屬于安全與技術(shù)研究所，成員包括主要網(wǎng)絡(luò)安全供應(yīng)商、事件響應(yīng)公司以及聯(lián)邦調(diào)查局和國土安全部的代表?！安灰沐e，我們的建議并不是關(guān)于如何消除勒索軟件的威脅?！本W(wǎng)絡(luò)安全公司帕洛阿爾托網(wǎng)絡(luò)（Palo Alto Networks ）的副總裁約翰·戴維斯（John Davis）在一次線上活動中這樣說，相反，他們的目標是讓威脅降低到一個“可以更為有效地管理的水平”。這些建議要求受害者向當局報告支付贖金的情況，并設(shè)立一個基金以援助那些無法支付贖金的受害者。4月，司法部宣布正在組建自己的勒索軟件工作組，以便在私營機構(gòu)、其他聯(lián)邦機構(gòu)和國際合作伙伴之間進行協(xié)調(diào)。

與此同時，勒索軟件集團一直在致力于維護他們的形象。曾經(jīng)攻擊過科洛尼爾管道公司網(wǎng)絡(luò)系統(tǒng)的黑客集團“黑暗面”已經(jīng)承諾不會攻擊學(xué)校、醫(yī)院、殯儀館或非營利組織，他們只以大企業(yè)為目標。10月，“黑暗面”發(fā)布新聞稿宣布他們剛剛向兩個慈善機構(gòu)捐贈了1萬美元的加密貨幣?！盁o論你們認為我們的做法有多惡劣，我們都很高興知道，有人的生活在我們的幫助下得到了改善?！彼麄冞@樣寫道。但是導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施停止運轉(zhuǎn)的行為引起了更高級別的重視以及執(zhí)法機關(guān)的大力打擊?！昂诎得妗睂υ斐傻钠茐谋硎镜狼福⑶蚁褚粋€受到譴責(zé)的科技公司一樣，承諾會更加注重自我節(jié)制，以避免未來產(chǎn)生社會后果。幾天后，該集團宣布其服務(wù)器已被關(guān)閉，比特幣錢包也被清空，或許暗示了執(zhí)法機關(guān)已經(jīng)有所行動。REvil似乎也被負面公關(guān)嚇到了，于是宣布將不再攻擊政府、醫(yī)療和教育部門等目標。

肖特蘭認為這種打造品牌的行為是一件好事?！叭绻@是一群完全不可靠的人，那我可能會感到絕望，”她告訴我，“但能夠為品牌著想的人應(yīng)該還會繼續(xù)這樣做?！焙诳蛡冴P(guān)心他們的名譽，這是市場可控的跡象。這并不意味著勒索軟件會消失——至少從刑事綁架案件的先例來看并不會?！翱傆幸豢罱壖苓m合你”她說。