从5亿砍到3亿，与黑客讨价还价…替人压价的“暗网谈判专家”[隐匿④]

by Jun Youngjoo

by Park Eugenie

by Sim NaYoung

Published 27 May.2025 08:56(KST)

Updated 25 Jun.2025 14:22(KST)

open/close

遭黑客攻击也要隐瞒的企业们

<第2部阴影中的谈判>
[1]把黑客要价5亿砍到3亿的人

受害企业通过专业谈判团队解决
谈判收入为砍下金额约30%的佣金

通过谈判把赎金压到低于最初要价
连比特币兑换与汇款都一手包办

钱已汇出却拿不到解密密钥要当心
还有与黑客勾结吞掉差价的谈判团队

盖蒂图片社

企业即便落入勒索软件陷阱却不报警时，往往站在两条路口前：要么自行与黑客谈判，要么向专业谈判团队求助。网络安全企业S2W商务中心理事 Seo Hyeonmin 表示：“黑客向受害企业留下勒索信（信息）时，会把如何与黑客联系、如何将比特币兑换成交割等方法写得非常详细。但企业一旦遭到黑客攻击，几乎都会陷入惊慌失措的状态，因此大多数最终还是会求助于专家之手。”

所谓“专家”，指的是代替受害企业与黑客进行谈判的人，一般由五人左右的小团队构成。如果在门户网站上搜索“勒索软件数据恢复专业公司”，会出现一长串结果。这正是针对企业的黑客攻击催生出的一个市场。

不过，受害企业很少会随便给某家机构打电话。由于对黑客的警惕性被提高到极点，它们首先会联系那种“只在圈内人才知道”的安全顾问。一名要求匿名的安全顾问表示：“我的角色就是为遭黑客攻击的企业牵线，联系上值得信赖的谈判团队。只要我的手机上出现陌生号码，99%的可能性是遭遇勒索软件攻击的企业打来的。”这位堂堂正正的安全公司代表，还有另一个外号叫“阴影中的解决者”，在中小和中坚企业圈里反而更以这个名字知名。

“一开始我们照着黑客的指示，让员工登录指定网站尝试对话。因为是头一次遇到这种事，又太过震惊，整个人脑子一片空白。我悄悄向做生意的朋友中两位值得信任的人发出了求救信号，其中一人给了我一张名片，说这是‘安全顾问’，让我联系试试。”2023年9月遭勒索软件攻击的一家生物材料企业代表如此回忆。就这样，他与这位“阴影中的解决者”取得了联系，并与釜山的一支谈判团队签订了合同。

谈判团队正面应对黑客甚至代办比特币汇款

当时负责此案的谈判员 Kim 某，出示了两年前与黑客之间通过即时通讯往来的内容。双方的对话是在暗网（需通过特定程序才能接入的隐秘网络）中由黑客搭建的网站上，通过聊天和邮件进行的。黑客最初要求的“赎金”约为15枚比特币（当时约5.6亿韩元）。

“你们提出的金额太贵了，我们根本无力支付。能谈谈价吗？”（Kim某）“当然可以谈。你们今天或明天能马上付款吗？如果可以，我们可以额外给你们折扣。但不要谎称没钱。你们是拥有100名以上员工、年销售额至少5000万美元的大企业。”（黑客）

经过一整天的拉锯谈判，Kim某将赎金压到最初要价的60%左右，即约9枚比特币（当时约3.4亿韩元），最终达成协议。Kim表示：“黑客也会预留谈判空间，通常会把价格抬高1.5至2倍。大多数情况下都能谈下来，但由于黑客几乎把企业的所有信息都掌握得一清二楚，因此很难大幅砍价。”

谈判团队的收益，是按压低金额的30%收取手续费。近几年，随着数据恢复专业公司的增加，也出现了按固定费用签约，或提出“若谈判失败则一分钱不收”的公司。

从兑换比特币到汇款给黑客，也都属于谈判团队的业务范围。这是因为按照现行法律，韩国法人不能直接买入虚拟资产。受害企业将现金交给Kim后，由他兑换成比特币，再转入黑客的钱包。这笔钱最终会以“恢复费用”等名目记录在受害企业的会计账本上。

黑客制作的暗网网站页面上，谈判小组通过聊天与黑客协商降低赎金。黑客最初要求的赎金约为15个比特币（当时约5.6亿韩元），但经过谈判，将金额压低到最初赎金约60%的水平，即约9个比特币（当时约3.4亿韩元）。图片由受害企业提供

也有付了钱却没能顺利解密，被黑客“背刺”的情况。去年，一个黑客组织以某机器人零部件制造企业的100台服务器为人质，索要12枚比特币（约18亿韩元）。谈判进展顺利，最终将金额压至4枚比特币（约6亿韩元）。然而，黑客给出的密码只能让100台服务器中的2台恢复正常。Kim要求对方提供剩余服务器的密码时，黑客却称：“因为给你们打了太多折扣，被上面的老板训斥了。还得再多收4枚比特币。”Kim表示：“如今黑客越来越恶毒，有时在收到汇款后还故意给出错误密码。遇到这种情况，只能再次联系对方重新谈判。如果在谈判过程中惹恼了黑客，他们甚至可能在收钱后，仍将机密信息上传到暗网，因此必须格外小心。”

信任的谈判团队却“背后捅刀” 被二次勒索

连直接与黑客打交道的谈判团队，有时也会成为受害企业需要警惕的对象，因为有与黑客勾结、让企业“二次受害”的案件出现。部分受害企业的不满甚至发展为诉讼。首尔某物流企业在2020年就同时被黑客和谈判团队骗走了钱。黑客起初提出“支付6枚比特币（当时约1.8亿韩元）就解除服务器锁定”的要求，谈判过程中将赎金压到5.5枚比特币。

然而，谈判团队却对委托企业隐瞒了这一事实，拿出伪造的邮件，谎称没能从6枚比特币的要价中砍价。那0.5枚比特币的差额被谈判团队私自截留，准备用来还债。受害企业几乎毫无怀疑，就将1.8亿韩元的购入资金连同此前约定“无论谈判结果如何都必须支付”的4000万韩元手续费一并汇出。事情进展顺利后，谈判团队更加贪心，甚至先给黑客发邮件称：“我们再多要2枚比特币吧，我来好好说服他们，到手后我们分成。”

这个诈骗团伙最终甚至冒充起黑客本身。他们制作出一种将文件加密为“.enc”扩展名的恶意程序，在为客户公司维修电脑的过程中植入该程序，然后谎称客户遭遇了勒索软件攻击。在1年时间里，他们以“恢复费用”为名，从6家委托谈判的企业手中共骗取了约3000万韩元。最终，最高法院在2022年对该谈判团队的主导者作出2年6个月有期徒刑的终审判决。合议庭指出：“以勒索软件恢复为名欺骗受害者并骗取金钱，或以电脑维修为幌子传播恶意程序，其犯罪性质极为恶劣。”

必读新闻

明年若达不到业绩就砍到9700万…“6亿 vs 4.6亿 vs 1.6亿”细看三星电子DS部门绩效奖金

编者按在现实世界中，一旦发生人质劫持事件，总会有人报警。无论是受害者本人，还是周围的人代为报警，尽快通知警方都是当务之急。然而，由勒索软件引发的网络“人质事件”却恰恰相反。受害企业即便被黑客夺走大量金钱和时间，也忙着竭力隐瞒。过去10年间，累计应对超过2万起勒索软件攻击的韩国勒索软件侵害应对中心主任 Lee Hyeongtaek 表示：“像SK电信那样，一旦被黑就选择报警的企业，可以说是极少数。即便遭受损失，也绝不会向外界透露的企业，大概占十家中的九家。黑客只拿钱就走的结构正在不断重复。”