【编者按】美国参议院情报委员会在其年度授权法案中提出,将勒索软件攻击视为恐怖主义行为。该法案由委员会主席马克·华纳提出,旨在应对日益严重的勒索软件威胁。法案将勒索软件团伙称为“敌对外国网络行为者”,并考虑将支持这些团伙的国家定为“勒索软件国家赞助者”,对其实施制裁。
法案还扩大了美国情报机构的权力,将勒索软件攻击提升为国家情报优先事项。美国司法部已将勒索软件攻击的调查提升至反恐同等优先级,但若法案通过,将成为美国首部直接将勒索软件与恐怖主义联系的法律。
法案列出了18个勒索软件团伙,包括DarkSide和Black Basta,将其视为警告,并可能动用美国情报力量进行打击。同时,法案要求财政部和审计总署提交关于外国资产控制办公室制裁的个人和实体的报告,以及情报机构在应对勒索软件攻击时的法律权力概述。
尽管有专家表示,将勒索软件定性为恐怖主义可能不会提高美国应对勒索软件的效率,且某些被认为是勒索软件国家赞助者已经受到严重制裁,但法案的提出显示了美国政府加大应对勒索软件问题的决心。
背景
2024年夏天,参议院情报委员会在推进其年度授权美国情报界工作的法案时,还推进了一项具有争议的提案:将勒索软件视为恐怖主义。由委员会主席马克·华纳(Mark Warner)提出的这项法案包含了有关勒索软件的新颖语言,旨在应对日益猖獗和破坏性严重的勒索软件攻击。该法案提到勒索软件团伙,称其为“敌对外国网络行为者”;将庇护勒索软件行为者的国家指定为“勒索软件国家赞助者”,并对这些国家实施制裁;以及赋予美国情报界更大的法律权力,将勒索软件提升为国家情报优先事项。
尽管美国司法部曾表示,勒索软件攻击的调查已上升到类似于恐怖主义的优先级,但如果该提案成为法律,它将成为第一部直接将勒索软件与恐怖主义联系起来的美国法律。(参见路透社6月4日报道:Exclusive: U.S. to give ransomware hacks similar priority as terrorism)
“底线是,这项法案承认了勒索软件对美国及其盟友造成的经济损害,”前美国政府反恐专家、现为Garrison Technology的现场首席技术官亚当·马鲁亚马(Adam Maruyama)告诉CyberScoop。“同时,它指出,世界上存在一些国家,特别是朝鲜,这些国家通过成为勒索软件的国家赞助者而从中获得了可观的GDP份额。”
将勒索软件团伙称为敌对外国网络威胁行为者
情报委员会的提案认为“外国勒索软件组织及其关联的外国附属机构构成敌对外国网络行为者,涵盖的国家支持并从这些行为者的活动中获益,这些行为者应被美国视为敌对外国网络行为者”,列出了18个勒索软件团伙,包括DarkSide和Black Basta。
Emsisoft的威胁分析师卢克·康诺利(Luke Connolly)告诉CyberScoop,列出这些团伙代表了“对他们发出的警告,表明美国情报界的全部力量可能会对他们进行打击。”康诺利认为这是对勒索软件团伙的警告:“你们最好三思而后行,尤其是在攻击像医院这样可能危及生命的目标时。”
但专家们警告称,通过列出18个具体的勒索软件团伙,立法可能未能考虑到网络犯罪地下世界的流动性。勒索软件团伙经常成为执法部门打击的对象,并经常解散,然后以不同的实体或名称重新组建。
列出的勒索软件团伙包括LockBit,该团伙在2月份的国际执法行动Operation Cronos中被关闭。根据Cyfirma的说法,LockBit不再是主要威胁。REvil,另一个名单上的团伙,在2022年被俄罗斯执法部门打击后,基本停止了运营。
安全技术研究所的首席战略官梅根·斯蒂费尔(Megan Stifel)表示,更好的方法可能是将这些团伙列为示例,而不是定为明确的名单。她表示:“这些团伙的运作方式非常类似于2000年代末和2010年代初的恐怖组织。”
将支持勒索软件的国家列为“勒索软件国家赞助者”
情报委员会的法案试图通过指示国务卿和国家情报总监“将任何国家认定为勒索软件国家赞助者,该国家的政府提供了对勒索软件需求方案的支持”,包括为参与此类方案的个人提供庇护。
该法案还允许总统对勒索软件国家赞助者施加制裁和惩罚,就像对待恐怖主义国家赞助者一样,由国务卿根据一系列处理国际恐怖主义行为的法律权威做出决定。
法案还要求财政部长向国会提交一份报告,描述过去五年中,受到外国资产控制办公室制裁的个人、团体和实体的数量和地理位置,并指出他们是否参与了勒索软件需求方案。
此外,法案要求审计总署发布一份报告,概述联邦调查局、特勤局、网络安全和基础设施安全局、国土安全调查局以及外国资产控制办公室在应对外国勒索软件攻击时可用的法律权力。
“不同之处在于,这是我见过的第一个尝试将通常由执法机构处理的事项提升到恐怖主义指定级别的尝试,”CrowdStrike的隐私与网络政策副总裁德鲁·巴格利(Drew Bagley)告诉CyberScoop。“通过现有的恐怖主义条款,即使勒索软件被用作其中的一部分,你仍然需要满足传统恐怖主义的定义。如果你看勒索软件的普遍性以及对关键基础设施的攻击,它并不完全符合二十五年前用于非国家行为者恐怖主义的旧定义。这是一项努力引入新政策工具来应对这种斗争的尝试。”
授权情报界打击勒索软件行为者
该法案还要求美国情报界将勒索软件视为国家情报优先事项。它要求国家情报总监(DNI)将勒索软件威胁视为国家情报优先框架中的一个国家情报优先组成部分。
法案要求DNI确定最具威胁性的个人、团体和实体;这些团体的运营地点;他们常用的基础设施、战术和技术;他们与政府或原籍国的关系,以及任何阻碍打击勒索软件的情报空白。
Venable的网络安全服务和政策管理总监阿里·施瓦茨(Ari Schwartz)表示,这些条款将确保情报界收集有关勒索软件行为者的信息。“一些看似是国家支持的网络犯罪团伙,它们是国家通过网络手段进行恐怖主义的延伸,”施瓦茨说。“这项法案将一切联系起来,告诉国家情报总监和情报机构,这是国家安全的优先事项。去调查勒索软件行为者。”
一些专家表示,情报界已经掌握了大量关于勒索软件行为者的信息,法案可能为采取反勒索软件行动提供了法律明确性。
Emsisoft的康诺利表示:“这看起来是提升了勒索软件威胁在三字机构(指NSA、CIA、FBI、DIA等)中的优先级,以便他们能够应用资源来帮助保护美国国家利益。可能会有一些人得到提醒,去做我们不知道的事情。”
对法案有效性的质疑
一些专家对将勒索软件视为恐怖主义是否会提高美国在应对勒索软件方面的效果表示怀疑。
战略与国际研究中心的战略技术项目主任詹姆斯·刘易斯(James Lewis)对法案表示嘲讽。“勒索软件部分看起来像是一场伪装,”他告诉CyberScoop。“各国并不总是了解勒索软件的努力,将其称为恐怖主义是牵强的。意图截然不同。”
其他人则认为,关于勒索软件的制裁可能无效,因为可能被认为是勒索软件国家赞助者的国家已经受到严重的制裁。“我认为这种威慑效果是有疑问的,”马鲁亚马说。“C国有自己强大的经济。北朝鲜已经受到制裁到一个程度,我不认为我们还能施加更多的经济伤害。而伊朗和俄罗斯在制裁方面已表现出相当的韧性,无论是在国家还是个人层面。”
马鲁亚马认为,国家赞助的勒索软件标签应仅在国家安全受到威胁时应用。“如果我们谈论的是针对零售服务和商店的攻击,那么可能会有论据认为,国家级的制裁,特别是如果它们提供庇护而不是直接指挥网络行为者,可能会对这些行为的反应不成比例。”
尽管存在这些担忧,法案的条款确实向世界传达了美国在加大应对勒索软件问题的努力。“将勒索软件国家赞助者与恐怖主义国家赞助者等同起来,这告诉我,政府正在努力保护其公民和产业,与网络犯罪分子展开一场持续的军备竞赛,”康诺利说。“而网络犯罪分子似乎正在取得胜利。美国政府在说,这变得非常严重。”
参考资源:
1.https://cyberscoop.com/ransomware-terrorism-ndaa-2025/
2.https://www.congress.gov/bill/118th-congress/senate-bill/4443/text
原文来源:网空闲话plus
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”
