中間人

Rachel Monroe

去年感恩節過后幾天

庫蒂斯·明德（KurtisMinder）收到了一條信息，發信人在紐約州北部運營的小型建筑工程公司遭到了黑客攻擊。明德和他的安全公司GroupSense現在經常收到這類電話和電子郵件，其中不少都帶著恐慌。某家釀酒廠、印刷廠或網頁設計公司的員工早上上班后發現所有的電腦文檔都被鎖住，還會有一則通知要求他們用加密貨幣形式支付贖金以解鎖這些文件。

有些通知寫得咄咄逼人：“不要把我們當傻子，我們對你的了解比你對自己的了解還多。”有些則漫不經心：“哎呀，你的重要文件被加密了！”有些假裝歉意：“我們很遺憾，你所有的文件均已被加密。”一些通知的措辭把勒索行為描述成合法的商業交易，就好像黑客幫助他們進行了一次安全審計：“先生們！你們的業務面臨嚴重風險，貴公司的安全系統中有一個重大漏洞。”

這些通知中通常會包括一個鏈接，指向暗網的某個網站——所謂暗網，就是在互聯網中需要特殊軟件才能訪問的區域，人們會在那里從事一些不可告人的事情。受害者打開該網站時，會有一個時鐘跳出來，標明他們交贖金的時限。時鐘開始滴答作響，就像動作片中連接炸彈的計時器，令人有種不祥的預感。網站上還有一個聊天窗口，可以與黑客對話。

過去一年中，勒索軟件攻擊的激增讓這段時間的焦慮狀況雪上加霜。12月，美國聯邦網絡安全和基礎設施安全局的代理局長稱，勒索軟件“正在迅速上升為一種國家緊急狀態”。黑客們攻擊了疫苗制造商和研究實驗室，醫院無法得到化療方案，學區取消了課程。那些還在匆忙適應全遠程辦公方式的公司又發現他們在黑客面前不堪一擊。5月，勒索軟件組織“黑暗面（DarkSide）”攻擊了向東海岸大部分地區供應燃料的科洛尼爾管道（Colonial Pipeline）公司，迫使該公司關閉了網絡。這次斷網事件促使汽油價格升高并引發了一連串的恐慌性購買，也讓人們關注到勒索軟件令關鍵基礎設施癱瘓的潛在可能。攻擊發生一周后，科洛尼爾公司支付了440萬美元的贖金并讓系統重新上線，但是華盛頓特區80%的加油站仍然沒有燃油供應。

黑客攻擊事件不斷增多給庫蒂斯·明德的職業生涯帶來更多機會。

聯邦調查局（F.B.I.）勸告受害者不要與黑客談判，理由是支付贖金會激勵犯罪，這讓受害者處于兩難境地。“僅僅告訴一家醫院不要支付贖金，這種做法讓我感到難以置信，”非營利組織安全與技術研究所（Institute forSecurity and Technology ）的首席執行官菲利普·萊納（Philip Reiner）告訴我，“那你希望他們怎么做呢，干脆關門大吉讓病人死掉嗎？”不支付贖金的機構或許要花幾個月的時間重建他們的系統;如果黑客襲擊過程中盜取并泄露了客戶數據，受害機構可能會被監管機構罰款。2018年，亞特蘭大市政府沒有支付約5萬美元的贖金，結果，為了從攻擊中恢復，他們在危機公關、數字取證和咨詢等方面花了200多萬美元。網絡安全公司卡巴斯基（Kaspersky）的數據顯示，在新聞報道過的每樁勒索軟件案的背后，都有更多的中小型公司傾向于隱瞞遭到攻擊的事實，而其中一多半的公司會付錢給黑客。

在過去的一年里，44歲的明德作為一名勒索軟件談判專家，一直在處理著受害公司與黑客之間的溝通工作，這是一個幾年前還不存在的職業。如今共6位勒索軟件談判專家和他們常合作的保險公司一起，幫助受害者們在網絡勒索的世界中找到方向。但也有人指責他們為付款給黑客提供了便利，是在教唆犯罪。不過，由于勒索軟件越來越多，他們并不缺客戶。溫和而樸實、說著話經常自嘲地笑起來的明德意外成了專家。“跟你說話這會兒工夫，我又接到了兩個電話。”3月份有一次我們視頻聊天的時候他告訴我。

11月份跟他聯系的那個男人解釋說，這次攻擊是一個名叫“REvil（邪惡）”的軟件勒索黑客集團所為，公司的合同和建筑圖紙都被鎖上打不開了;這些文檔一天不解鎖，員工就一天無法工作。“他們竟然連一名負責IT的員工都沒有。”明德說，“公司也沒有購買網絡安全保險。”那個人還說，他曾經聯系過佛羅里達州的一家保證能幫他解開文檔的公司，但對方已經不再回復他的電子郵件。他希望明德能跟黑客進行談判，并拿到解密的密鑰。“聯系我的人都心煩意亂，”明德告訴我，“他們非常、非常不安。”

小時候，明德曾經去過父親工作的地方

那是在伊利諾伊州中部的一家磨坊，他看著父親扛起50磅重的面粉袋。在州政府工作的母親則坐在有空調的辦公室里喝咖啡。他不太明白她具體是做什么的，只知道看起來好像要經常打字。“我當時就想，不管那個打字的工作是什么，那就是我想干的。”明德告訴我。

90年代初大學畢業后，他在當地一家互聯網服務公司找到了一份技術支持的工作。一年之內，他就被提升為助理系統管理員，密切關注服務器日志是他的職責之一。他開始注意到某個奇怪的模式，并最終意識到那是黑客入侵的證據。“他們會利用我們的路由器作為一個我們現在所謂的‘樞轉點，就是說他們攻擊別人之前會先在我們這里跳轉一下，讓攻擊看起來像是我們發出的，”他說，“那些攻擊者通常都是些業余愛好者，他們的興趣更多在于炫耀自己的技術而非造成真正的破壞。”明德發現，和他們斗智斗勇并且用技能打敗他們能獲得深深的滿足感。

到那時，黑客們已經證明他們能夠造成嚴重的破壞。1989年，世界各地的兩萬名公共衛生研究人員都收到了一張據稱包括一個艾滋病資訊程序的軟盤，但是那張軟盤中還包含一個被視為首個勒索軟件的惡意程序。用戶重新啟動電腦90次后，屏幕上出現了一個文本框，通知他們電腦里的文檔已經被鎖住，然后他們的打印機吐出一張贖金紙條，要求他們給巴拿馬的一個郵政信箱寄去189美元。這個后來被稱為“艾滋病木馬”的惡意軟件是由哈佛大學出身的進化生物學家約瑟夫·波普（Joseph Popp）制造的。波普被捕后行為變得越來越古怪，被判定為不宜出庭受審;后來，他在紐約州北部設立了一個蝴蝶保護區。

波普的策略——用私人密鑰將文檔加密并索要解鎖費用——經常被現在的勒索軟件團伙所應用。但黑客們最初更傾向于采用一種名為“恐嚇軟件（Scareware）”的方法，他們會用一種病毒感染計算機，中毒表現是屏幕上會不斷彈出帶有可怕信息的窗口：“安全警告，你的隱私和安全正處于危險之中！”這些彈窗會讓用戶購買某種殺毒軟件來保護他們的系統。冒充軟件公司的黑客隨后就可以收到信用卡付款，但使用勒索軟件的黑客不能接受信用卡交易。在2000年初期，勒索軟件的黑客通常會要求受害者以禮品卡或預付借記卡的形式支付幾百美元，拿到這些錢需要有中間商，而且大部分利潤都被中間商抽走了。

隨著2009年比特幣的推出，這種情況也發生了變化。現在人們可以在不暴露身份的情況下接受數字付款，勒索軟件也變得更加有利可圖。2014年，明德在弗吉尼亞州的阿靈頓（Arlington）創立GroupSense時，每個人認知里的網絡安全威脅就是數據泄露，也就是盜取諸如銀行賬戶信息或社會安全號碼等消費者數據的行為。明德雇用了會說俄語、烏克蘭語和烏爾都語的分析師，他們冒充網絡犯罪分子，潛伏在暗網的交易市場上，觀察著有誰在出售從企業網絡中竊取的信息。但是，隨著安全系統的不斷升級，數據泄露也變得更加困難，轉而使用勒索軟件的網絡犯罪分子越來越多。據聯邦調查局估計，到2015年，美國境內每天會發生1000起勒索軟件黑客攻擊，次年，這個數字翻了4倍。網絡安全保險公司Resilience的理賠負責人邁克· 菲利普斯（Mike Phillips）告訴我：“現在首當其沖的只有勒索軟件，其他類型的攻擊都差得很遠。”

大多數勒索軟件攻擊的背后都有犯罪集團操縱。線上互動時，他們兼具青少年的姿態與專業人員的特質：他們對視頻游戲里的詞語和“邪惡”一詞情有獨鐘，但也采用了一種日益復雜的商業結構。規模較大的團伙建立了客服中心以幫助受害者一步步完成支付加密貨幣的復雜流程，并承諾給及時付款的人打折。包括REvil在內的一些勒索軟件集團采用加盟模式，他們為黑客提供部署攻擊的工具，并收取利潤抽成。（REvil還代表其加盟機構進行贖金談判。）“這種模式實施起來太容易了，”安全與技術研究所的萊納告訴我，“你或者我都能做——就是業務出租，整個過程已經商品化到了不可思議的程度。”

為了侵入一家公司的計算機，黑客們會使出各種技術手段，比如在電子郵件的附件中嵌入惡意程序，或者用偷來的密碼登入員工用于連接公司網絡的遠程桌面。許多黑客集團的總部都設在俄羅斯或其它前蘇聯共和國，有時他們的惡意軟件中會包含代碼，可以停止攻擊語言被設置為俄語、白俄羅斯語或烏克蘭語的計算機。一些黑客集團雇用了現任或退伍軍人，但他們似乎更關心金錢，而不是地緣政治陰謀。“我們對政治不感興趣，”一名自稱是REvil集團代表的男子在接受一位俄羅斯視頻博主采訪時說道，“完全不碰政治。我們不關心誰當總統。我們以前干活，現在干活，以后還是干活。”

菲利普斯告訴我：“支付贖金的時候，你會擔心這筆錢會成為世界另一端暗網硅谷的風險投資。”這些勒索軟件集團像正版硅谷一樣，正在快速行動，打破陳規。2017年5月，黑客集團“想要哭（WannaCry）”通過未打補丁的舊版本微軟視窗（Windows）操作系統攻擊了30萬臺電腦。在英國，救護車只能繞開那些電腦系統受到影響的醫院，一家雷諾汽車工廠甚至被迫暫時停產。不過，就在那次攻擊發生3年后，REvil的代表認為這種漫無目標的方法是“一次非常愚蠢的試驗”。“想要哭”的黑客們索要的贖金只有300到600美元，最后凈賺了大約14萬美元。

“想要哭”之后的勒索軟件集團把目標集中在一些安全措施不力同時又無法容忍業務中斷的行業，這樣更有可能勒索成功，也更加有利可圖——比如產業化農業、中等規模制造業、油田服務業和市級政府。犯罪集團還將實施破壞行為的時間定在最容易受害的時段：在8月學生即將返校前夕攻擊學校;在報稅期攻擊會計師事務所。某些集團專門瞄準“大型獵物”，對財力雄厚的公司發動有針對性的攻擊。利用哈迪斯（Hades）勒索軟件進行攻擊的黑客集團把目標限定在報告收入10億美元之上的企業。另一個組織則為每一次攻擊行動專門定制惡意軟件。2019年，在歐洲執法機構“歐洲刑警組織（Europol）”舉辦的一次網絡研討會上，一位安全專家提到：加密貨幣門羅幣（Monero）基本上是無法追蹤的。不久之后，REvil開始要求使用門羅幣取代比特幣支付贖金。

如果有公司不太愿意談判，高管們就會收到威脅的電話和領英（LinkedIn）私信。去年，金巴利集團（Campari Group）發布了一份新聞稿，淡化了近期遭到勒索軟件攻擊的嚴重性。作為回應，黑客們在Facebook上發起了廣告活動，利用他們也曾攻擊過的某個芝加哥流行音樂節目主持人的個人資料羞辱了金巴利集團這一飲品業巨頭。“這很荒唐，而且看起來像是一個巨大的謊言，”他們寫道，“我們可以確認有機密數據被盜，而且我們說的是海量數據。”去年，南美某個家庭用品連鎖店的打印機突然打不出收據，而是打出了索要贖金的通知。

最近，黑客集團在他們的操作手冊中加入了敲詐一項。他們在給系統加密之前先抽取機密文件，如果他們的贖金要求得不到滿足，他們會威脅向媒體公布敏感數據或在黑市上拍賣。黑客們曾威脅要公布一位高管的色情收藏品并把拒不付款的受害者的信息分享給賣空投資者。“我見過一些社會工作機構被勒索軟件的黑客威脅要曝光弱勢兒童的信息。”菲利普斯說。

在勒索軟件占據明德的生活之前

他已經習慣了按部就班地過日子。他步行上班，通常是最早到最晚走。回家路上他會找一家咖啡店進去喝杯酒，吃點沙拉。回到獨自居住的公寓后，他會在書桌前工作，直到睡著。他的主要社交活動是當地的摩托車俱樂部，即華盛頓大都會寶馬摩托車手俱樂部。

去年年初，GroupSense發現了黑客入侵一家大公司系統的跡象。明德向該公司發出了警告，但一臺服務器已經被攻破。黑客向該公司發出了一份索要贖金的通知，威脅要把文件公之于眾。那家公司問明德是否能夠負責贖金談判。起初，他并沒有同意——“我從來沒覺得自己有這個本事。”他說——但最終他還是被說服了。

為了爭取時間，明德建議那家公司先確認收到了贖金通知。他開始學習談判技巧，觀看“大師開課（MasterClass）”的網絡教程并閱讀前人質談判專家的書籍。他學到了還價時應該避免使用整數，因為會顯得太隨便，而且他不應該在沒有給出正當理由的情況下妥協。在接下來的幾周里，與那個黑客的對話逐漸展開之后，明德發現自己有談判的天賦。那個黑客似乎和主要的勒索軟件集團都沒有關聯，明德盡最大努力和他搭話，當黑客抱怨他為了侵入那個公司的系統投入了多少時間和精力時，明德稱贊了他的技術：“我告訴他：‘你是個非常有才的黑客，所以我們愿意為此付給你錢，但我們給不出你要的數目。”

這場談判開始變得耗時耗力，和女友騎摩托車露營的途中，明德還在篝火旁抱著筆記本電腦用3G熱點繼續跟黑客對話，最終，那個黑客同意了一個那家公司的保險公司可以接受的價格。“如果你們再給我一點時間，我想我可以跟他把價錢談到更低。”明德回憶自己當時是這么說的，但網絡安全保險公司說：“這樣已經足夠好了。”

明德很快遇到了更多這類工作。有時是某家面臨數百萬美元勒索的著名公司，談判耗時數周;有時是某個小企業，或者某個非營利組織，這種情況下他會義務幫忙并試圖在周末搞定。但GroupSense很少通過談判賺錢。有些勒索軟件的談判者會收取贖金折扣額的一部分作為酬勞。“但那些真正能賺到錢的方法很容易遭到欺詐，或者被指控為欺詐，”明德說。相反，他按小時收費，并希望他幫助的一些機構能夠注冊使用GroupSense的核心產品——安全監控軟件。

去年三月，GroupSense的辦公室關閉后，明德在他475平方英尺的公寓里踱著步子轉圈。“我當時想，我需要去徒步。”他說。他把兩輛摩托車拖到科羅拉多州大章克申（GreatJunction）一個租來的房子那里。世界分崩離析之時，勒索軟件案件源源不斷。明德自己處理談判事宜，他不想讓員工分心，而且他發現這項工作需要一定的情感技巧。“我們的大多數員工都非常偏技術型，但這不是一種技術技能，而是一種軟技能，”他告訴我，“很難通過培訓獲得。”

最初的信息溝通至關重要。代表自己談判的人傾向于斥責黑客，但那樣做只會激怒對方。明德的目標是傳達一種溫暖而傲慢的態度——“就好像，我們是朋友，但其實你根本不知道你在做什么。”他解釋道。他的女朋友會說羅馬尼亞語、俄語、烏克蘭語和一些立陶宛語，并幫助他找到了能設定正確基調的口語說法。他喜歡把黑客們叫做kuznechik，這個俄語詞匯的意思是“螞蚱”。

偶爾，明德也會被叫去嘗試挽救那些已經快要崩盤的談判。如果黑客覺得談判的進度太慢，或者感覺到對方跟自己撒了謊，他們可能會完全中斷溝通。遵照曾在聯邦調查局擔任人質談判專家，如今擔任談判顧問的克里斯·沃斯（Chris Voss ）的建議，明德嘗試通過模仿黑客的語言模式來建立一種“戰術共鳴”。

大多數時候，明德會發現自己是在跟一個黑客集團的代表打交道。“第一個跟你對話的人相當于那種初級技術支持，”他說，“他們會說一些‘我很想和你合作，但我必須得到我經理的批準才能給你這個折扣之類的話。”

GroupSense與區塊鏈分析公司Cipher-Trace是合作伙伴，所以某個特定的數字貨幣錢包被創建之后明德可以看到，并能夠追蹤其交易。測定流入一個錢包的平均付款額可以讓他了解現行匯率以避免支付過高的費用。他開始明白，那些勒索集團都是按照固定的話術流程操作。“很多時候，在談判開始之前我們就能去告訴客戶接著會發生什么。”他告訴我。

客戶本身有時也不是省油的燈。明德與黑客進行所有通訊前都會先通過一個安全的門戶網站詢問客戶的意見：有些人想要編輯發給黑客的每一條信息，“對他們來說，這就像一場間諜游戲。”明德說;其他人則在憤怒或挫敗中爆發，“有時候你是同時在跟雙方談判——黑客方和受害者方，”他說。“你必須擁有一種既能與對方感同身受，又能用不對抗的方式給出指示的性格特征。”

明德已經看到，高壓戰術和贖金金額正在一發不可收拾。根據勒索軟件救援服務商Coveware的數據顯示，2018年，平均支付的贖金數額約為7000美元。在2019年，這個數字增長到4.1萬美元。那一年，一個大型勒索軟件集團宣布解散，他們在不到兩年的時間里獲得了20億美元的贖金。“我們就是做了壞事也能逍遙法外的實證。”這個集團在告別信中寫道。到2020年，支付的贖金平均已超過20萬美元，一些網絡安全保險公司開始退出市場。“我覺得那些保險公司并不真正了解他們所承擔的風險，”萊納告訴我，“2020年的數字真的很糟糕，但是到了2020年底，大家四下看了看之后都說，2021年會更糟糕。”

1971年，阿根廷某肉類加工廠的一名英國籍經理被一個游擊小隊抓走了

過了幾周，他的雇主支付了2.5萬美元的贖金之后，他被放了回來。第二年，一家電子公司為贖回一位被綁架的高管支付了兩倍的贖金。1973年，中美洲的商人不斷遭到綁架，他們的贖金也以驚人的速度增長。可口可樂（Coca-Cola）付了100萬美元;柯達（Kodak）付了150萬美元;英美煙草（British American Tobacco）付了170萬美元;費爾斯通（Firestone ）付了300萬美元。一位首席執行官以230萬美元的價格被贖回，兩年后他再次遭到綁架時，贖金價格已經上升到1000萬美元。隨后，一家跨國食品加工集團的兩位繼承人胡安和豪爾赫·博恩（Juan and Jorge Born）被一群假扮成電話工和警察并用假路牌設套的匪徒抓走，最后把他們贖回花了6000萬美元，外加分給窮人的價值100萬美元的衣服和食物。在哥倫比亞工作的一位美國經理人古斯塔沃·柯蒂斯（Gustavo Curtis ）在1976年被綁架前不久剛聽他的雇主說過：“身為高管，一定程度上就意味著要承擔被綁架的風險。”

在人類歷史的大部分時間里，綁架大多屬于地方性事件，在一定程度上都會遵循某種禮節并以互惠為前提。全球化、政局混亂與日益加劇的不平等顛覆了這些規范。在意大利，犯罪團伙既綁架有錢的外國人，也綁架農民的孩子，某一年有80個人被綁架以勒索贖金。約翰·保羅·蓋蒂（John Paul Getty）拒絕為他遭綁架的孫子支付超出可扣稅額度的贖金——據說這個額度是300萬美元。

1932年林德伯格（Lindbergh）嬰兒綁架謀殺案之后出現的“綁架勒索保險”業務量激增。1970年，該領域的市場規模約為15萬美元，到1976年，已經達到7000萬美元。大多數保單都是在世界主流的專業保險市場“倫敦勞合社（Lloyds of London）”簽署的。很快，出現了向投保人提供防范綁架建議的風險分析師，提供現場保護的私人保安公司以及真的出了事之后接手處理的專業談判人員。

1975年，英國特種部隊的一些退役人員創建了“控制風險（Control Risks）”公司，旨在幫助保險業處理綁架問題。該公司的管理者以一種貴族式的謹慎態度開展工作。1977年，公司的兩名創始人在哥倫比亞被捕——當時沒人能確定這個新生的談判行業是否合法——在10周的拘留期內，他們給自己的公司撰寫了一份行為準則。（這兩人后來被證明無罪。）

約有四分之三的財富500強公司最終會花錢購買綁架勒索保險，但對于這個給黑手黨、恐怖組織和犯罪團伙輸送資金并從中獲利的行業，人們總是感到有些不舒服。“大家都覺得你們不應該賺太多錢。”1979年，控制風險公司的一位聯合創始人告訴《泰晤士報》，“意大利、哥倫比亞和英國都已經禁止了綁架勒索保險。”

不過，倫敦國王學院（King 's CollegeLondon ）的政治經濟學教授安雅· 肖特蘭（Anja Shortland ）告訴我，私有化的綁架中介機構正是建立它所謂的“贖金紀律”的關鍵。控制風險公司不僅進行贖金談判，它還提供安全審計，先一步向公司提供防止員工被綁架的建議。保險公司給那些加強安全措施從而降低了綁架總體發生率的公司削減了保費數額，如果綁架確實發生了，熟練的談判人員會防止贖金要求走向失控。如今，大約90%的綁架案都能得到解決，并且通常是通過支付贖金的方式解決，如果有專家參與，成功率會上升到97%。在那些禁止綁架保險的國家，談判會秘密進行。

肖特蘭的主要研究方向是犯罪經濟學。“經濟學中有很多情況是：讓我們假設排除掉所有的復雜情況，這樣我們就可以得到一個易處理的問題，”她告訴我，“而我只是直面了那些復雜情況。”為了更好地理解綁架勒索行業，她仔細研究了索馬里的海盜和綁架市場，在那里她看到了私人保險公司、顧問和談判者如何在這個通常被描述為毫無規矩的行業中培養出某種可預測性。就像一位談判者告訴她的那樣：“這些事都是有節奏、有規律的。”

肖特蘭告訴我，這種基于相互信任的假設而形成的秩序性對各方都有利：綁架者得到了預期的回報率;被綁架者可以合理地期望他們能被完好無損地釋放;危險地區的公司可以假設他們的員工不會遭到綁架，但如果他們真的被綁架了，也幾乎肯定不會被殺害;而保險公司和顧問也可以收取各自的費用。

Coveware公司的聯合創始人比爾·西格爾（Bill Siegel）告訴我，勒索軟件的“沖擊力”比綁架小，意思是說，不會有人給你寄來一只切掉的耳朵。但是，對一個經濟學家來說，這些差異微乎其微。“他們正在創建的機構與當年綁架勒索群體創建的機構非常類似，”肖特蘭說，“只不過他們晚了大約80年。”

由于勒索軟件案明顯沒有放緩態勢

明德培訓了他手下的兩名員工來處理談判事宜，其中一位是邁克· 福勒（Mike Fowler），他曾是北卡羅來納州的一名緝毒警。臥底工作教會了福勒如何扮演不同角色，他告訴我：“這是成為一名有效談判者的重要能力。”

去年11月，福勒被指派擔任那家建筑工程公司的談判代表。當他登入暗網時注意到計時器顯示談判已經進行了3天。聊天框中一場對話正在進行。“這讓我很震驚，”福勒說，“我看到的是一場完整的談判，雖然談得很差，但是很完整。”

代表工程公司聊天的一方持對抗且激進的態度，當黑客要求拿到20萬美元來解鎖公司的文件時，談判者起初還價1萬美元，然后迅速提高到1.4萬美元，然后是2.5萬美元。“這種溝通方式給勒索者傳遞的信息是：他們還有更多錢。”福勒說道。黑客們越來越不耐煩，“你們公布的年收入是400萬美元，”他們寫道，“我們不只想要這點小錢。”聊天的最后一條信息是兩天前黑客們發來的：“你們準備好以6.5萬美元的價格成交了嗎？”

福勒和明德試圖拼湊出到底發生了什么，客戶堅持說他們從來沒登入過暗網，更沒有與黑客互動過。然后，福勒提醒明德，REvil集團的博客最近有一篇文章警告大家提防騙子中介，這些中介號稱可以解密文件，但實際上他們會和黑客秘密談判拿到解密文件，然后加價提供給受害方。當時明德還覺得，一個網絡犯罪集團居然還發布防騙警告，這件事太逗了，但是現在客戶承認他們聯系過一家位于佛羅里達的公司“怪物云（MonsterCloud）”，該公司宣傳自己是“世界領先的網絡恐怖主義與勒索軟件恢復專家”。“怪物云”在官網上鼓勵受害者使用其清除勒索軟件的服務，而不是支付贖金。這個推銷理由對于工程公司的負責人來說或許很有說服力，“他們非常、非常愛國，”明德告訴我，“他們寧愿付錢給佛羅里達的一家軟件公司”，也不愿向外國犯罪集團支付贖金，“這一點我毫不驚訝”。

明德很快了解到，REvil的黑客索要6.5萬美元之后不久，“怪物云”的一名代表告訴該工程公司，他們能夠以14.5萬美元的價格恢復這些文件。（“怪物云”拒絕對本文發表評論。）

據獨立調查機構ProPublica的一項調查顯示：“怪物云”長期以來都在與黑客集團進行秘密談判。ProPublica采訪了一些過往的客戶，這些客戶都相信他們的文件是在沒有支付贖金的情況下被解密的，盡管從相關勒索軟件的情況來看這種結果是極不可能發生的;這些軟件絕大多數都不可能被解密，除非代碼中存在錯誤。只有少數幾家總部設在美國的數據恢復公司似乎在遵循類似的商業模式，“怪物云”就是其中之一。這些公司聲稱能夠使用高科技工具將文件解密，從而讓他們的客戶相信，不向犯罪集團支付贖金也可以解決勒索軟件產生的問題——這種策略對于“怪物云”的一些公立機關客戶如市政府或執法部門特別有吸引力。勒索軟件團伙也承認，數據恢復公司能夠成為一起賺錢的合作伙伴，有一個團伙還專門為這些公司提供了一個促銷碼。“怪物云”拒絕與ProPublica討論他們的工作方法。“我們在陰影里干活，”公司首席執行官佐哈爾·平哈西（Zohar Pinhasi）告訴對方，“我們怎么做到的是我們的事，反正你的數據都能找回來，不如坐穩、放松、享受這個過程就行了。”

明德向他的客戶說明了情況，那個人不禁破口大罵起來。由于談判已經失敗，明德幾乎沒有機會說服黑客同意一個更低的價格。客戶讓明德告訴黑客們“去死吧”，但明德說他“禮貌地拒絕了”。這家公司于是嘗試從備份和舊郵件中找回一些文件。明德建議客戶調查一下漏洞是如何產生的，但是他們似乎并不感興趣。“他們說他們的IT人員自有見解。”

明德向聯邦貿易委員會（Federal TradeCommission）舉報了“怪物云”公司，但這件事仍讓他耿耿于懷。“如果你在谷歌上搜索‘幫我擺脫勒索軟件或者‘如何回應勒索軟件，你搜出來的都是這些投機倒把或者偽造形象來欺詐別人的公司，”他說，“我只是覺得很惡心。”

去年10月，財政部海外資產控制辦公室

（The TreasuryDepartm e n t ' sOffice of ForeignAssets Control）發布了一份針對談判人員、網絡安全保險公司和事件應對小組的公告，警告他們或許會因為協同向犯罪分子付款而被罰款。

“他們這個做法很糟糕，”推特（Twitter）公司前任首席信息安全官邁克· 康維迪諾（Mike Convertino）告訴我，“也許他們確實感到挫敗，但在我看來這樣有點不負責任。我們面對現實吧，如果有一家價值20億美元的公司，文件被鎖住了，又沒有妥善備份，那么他們唯一的出路也被剝奪了。所以，你剛剛摧毀了一個價值20億美元的公司。”（該公告似乎起到了作用：在2020年最后一個季度，選擇支付贖金的勒索軟件受害者數量有所下降。）

為了應對，康維迪諾現在的雇主——網絡安全保險公司Resilience加入了一個勒索軟件工作組，該工作組隸屬于安全與技術研究所，成員包括主要網絡安全供應商、事件響應公司以及聯邦調查局和國土安全部的代表。“不要搞錯，我們的建議并不是關于如何消除勒索軟件的威脅。”網絡安全公司帕洛阿爾托網絡（Palo Alto Networks ）的副總裁約翰·戴維斯（John Davis）在一次線上活動中這樣說，相反，他們的目標是讓威脅降低到一個“可以更為有效地管理的水平”。這些建議要求受害者向當局報告支付贖金的情況，并設立一個基金以援助那些無法支付贖金的受害者。4月，司法部宣布正在組建自己的勒索軟件工作組，以便在私營機構、其他聯邦機構和國際合作伙伴之間進行協調。

與此同時，勒索軟件集團一直在致力于維護他們的形象。曾經攻擊過科洛尼爾管道公司網絡系統的黑客集團“黑暗面”已經承諾不會攻擊學校、醫院、殯儀館或非營利組織，他們只以大企業為目標。10月，“黑暗面”發布新聞稿宣布他們剛剛向兩個慈善機構捐贈了1萬美元的加密貨幣。“無論你們認為我們的做法有多惡劣，我們都很高興知道，有人的生活在我們的幫助下得到了改善。”他們這樣寫道。但是導致關鍵基礎設施停止運轉的行為引起了更高級別的重視以及執法機關的大力打擊。“黑暗面”對造成的破壞表示道歉，并且像一個受到譴責的科技公司一樣，承諾會更加注重自我節制，以避免未來產生社會后果。幾天后，該集團宣布其服務器已被關閉，比特幣錢包也被清空，或許暗示了執法機關已經有所行動。REvil似乎也被負面公關嚇到了，于是宣布將不再攻擊政府、醫療和教育部門等目標。

肖特蘭認為這種打造品牌的行為是一件好事。“如果這是一群完全不可靠的人，那我可能會感到絕望，”她告訴我，“但能夠為品牌著想的人應該還會繼續這樣做。”黑客們關心他們的名譽，這是市場可控的跡象。這并不意味著勒索軟件會消失——至少從刑事綁架案件的先例來看并不會。“總有一款綁架適合你”她說。