专家分析Conti和Hive勒索软件团伙与受害者的聊天

对Conti和Hive勒索软件运营商与其受害者之间长达四个月的聊天记录进行了分析，这些记录涵盖了40多个对话，有助于深入了解这些组织的内部运作及其谈判技巧。

在一次交易中，据说Conti团队已将赎金需求从惊人的5000万美元大幅减少到100万美元，降幅达98%，表明他们愿意接受更低的金额。

Cisco Talos在与《黑客新闻》分享的一份报告中表示：“Conti和Hive都很快降低了赎金要求，在整个谈判过程中都会多次大幅减少赎金。”。“这表明，尽管人们普遍认为，勒索软件攻击的受害者实际上拥有强大的谈判能力。”

Conti和Hive是威胁领域中最常见的勒索软件种类，累计占2021 10月至12月三个月期间检测到的攻击的29.1%。

查看聊天日志的一个关键收获是两组人之间的沟通风格的对比。虽然康蒂与受害者的对话是专业的，并以使用不同的说服策略来说服受害者支付赎金为特点，但Hive采用了“更短、更直接”的非正式方式。

除了提供假期和特别折扣外，Conti还提供“IT支持”，以防止未来的攻击，向受害者发送所谓的安全报告，其中列出了受影响实体可以采取的一系列措施，以确保其网络的安全。

此外，这家出于经济动机的集团还利用恐吓战术，警告受害者因数据泄露而造成的名誉损害和法律问题，并威胁要与竞争对手和其他利益相关者共享被盗信息。

CISA在今年早些时候的一份咨询报告中指出：“在对受害者网络安全进行加密后，勒索软件威胁行为人越来越多地使用‘三重勒索’，威胁要（1）公开发布被盗的敏感信息，（2）扰乱受害者的互联网接入，和/或（3）将事件告知受害者的合作伙伴、股东或供应商。”。

另一个区别在于康蒂在付款期限方面的灵活性。塔洛斯研究人员肯德尔·麦凯（KendallMcKay）说：“这些行为表明，Conti运营商是高度机会主义的网络犯罪分子，他们最终宁愿支付一些费用，而不是不支付。”。

另一方面，据观察，如果受害者未能在规定日期前支付赎金，Hive会迅速提出赎金要求。

同样值得注意的是，Hive在加密过程中强调速度而非准确性，这使得它很容易出现允许恢复主密钥的加密错误。

McKay说：“像许多网络罪犯一样，Conti和Hive都是机会主义者，他们可能会试图通过最简单、最快的手段，包括利用已知的漏洞，来危害受害者。”。“这提醒所有组织实施强大的修补程序管理系统，并使所有系统保持最新。”