随着勒索软件攻击持续增多，越来越多企业开始寻找能够直接与黑客交涉的专业谈判人员。

英国《金融时报》4月5日报道，针对全球大型企业的网络攻击激增，带动Palo Alto Networks、Sophos等大型安全厂商旗下勒索软件谈判服务需求上升。该报道援引知情人士披露了上述情况。

Quorum Cyber事故响应总监Dan Saunders表示，这类谈判人员主要承担三项职责：为企业争取应对时间、协助管理层作出决策，以及收集有助于识别攻击者身份的信息。

他强调，参与谈判并不意味着企业一定会支付赎金。

为了放慢对方节奏，谈判人员有时会伪装成基层IT员工，或刻意控制沟通频率，每天只发送一两条消息。Sophos一名谈判人员形容，这更像一场需要精细拿捏分寸的周旋，一旦失手，可能给客户造成严重损失。

此类谈判通常持续3天至3周，沟通渠道主要包括暗网门户、电子邮件以及加密聊天工具TOX.chat。

Sophos表示，网络犯罪分子通常会开出相当于受害企业年营收1%至2%的赎金。谈判人员在尽量压低赎金金额的同时，也会追踪IP地址和加密货币钱包，以识别对方身份。其中不少人曾供职于执法机构，并会运用过往积累的调查经验。

Digital Mint的Don Wipert称，许多网络犯罪分子年龄偏小、心智并不成熟，不少人只有十几岁或刚出头二十岁。他还提到，甚至有黑客在收到赎金后附上感谢便条，甚至寄送蛋糕。

业内人士提醒，企业在支付赎金前必须先进行法律审查，确认是否触犯国际制裁规定。Clifford Chance合伙人Jonathan Kewley表示，相关制裁核查流程极为复杂，审查要求也十分严格。

另一个风险在于，即便企业支付赎金，也无法保证攻击者会履行承诺。

Sophos发布的勒索软件报告显示，2025年选择支付赎金的相关网络攻击事件占比已降至不足一半，较2024年的56%进一步下滑。报告认为，这一下降与专业谈判服务使用增多，以及数据备份等预防措施日益普及有关。