澳大利亚成为首个强制披露勒索软件付款的国家

在澳大利亚运营的公司现在必须报告在遭遇勒索软件事件后向网络犯罪分子支付的任何款项。政府官员希望这项新规定能帮助他们更深入地了解这一问题，因为许多企业在成为文件加密恶意软件的受害者时，仍然会支付赎金。

该法律最初于去年提出，仅适用于年营业额超过193万澳元的公司。该门槛针对的是澳大利亚注册企业中排名前6.5%的企业，约占该国经济总产出的一半。

根据新法律，受影响的公司必须向澳大利亚信号局（ASD）报告勒索软件事件。未能正确披露攻击事件将根据澳大利亚民事处罚制度被处以罚款。

据称，当局计划采取两阶段措施，首先优先处理重大违法行为，同时与受害者进行“建设性”对话。

从明年开始，监管机构将对不合规的组织采取更为严格的立场。澳大利亚政府在认定自愿披露不足后，实施了这项强制性报告要求。2024年，官员们指出，勒索软件和网络勒索事件的报告数量严重不足，只有五分之一的受害者站出来举报。

勒索软件仍然是一个高度复杂且日益严重的现象，尽管执法部门加大了对臭名昭著的网络犯罪团伙的打击力度，但攻击次数仍创下历史新高。尽管一些政府已提出类似的法规，但澳大利亚是第一个正式颁布此类法律的国家。

网络安全公司 Semperis 的事件响应总监 Jeff Wichman 警告称，强制报告是一把双刃剑。虽然政府可以获得宝贵的数据并深入了解攻击者的个人资料，但这项法律可能无法降低攻击的频率。

相反，它的主要作用可能是公开羞辱受攻击的组织，而网络犯罪分子则继续从中获利。Semperis 最近的一项研究发现，在 1000 家遭受勒索软件攻击的公司中，超过 70% 的公司选择支付赎金，并期待最终结果。

“有些公司只想付钱，然后把数据从暗网上撤下来。而有些公司则希望延迟响应，希望在弄清楚发生了什么事情的同时与攻击者进行谈判，”Wichman 解释道。

研究显示，60% 的付费受害者获得了可用的解密密钥并成功恢复了数据。然而，40% 的受害者提供的密钥已损坏或失效。