信息化觀察網(wǎng)

調(diào)查表明，勒索贖金仍然只是組織遭遇網(wǎng)絡(luò)攻擊造成損失的一小部分，但相關(guān)成本卻在增加。

在2020年9月遭到勒索攻擊之后，美國(guó)聯(lián)合健康集團(tuán)(UHS)最終支付了6700萬(wàn)美元的勒索相關(guān)費(fèi)用。但是，該組織只是遭遇勒索軟件攻擊造成重大經(jīng)濟(jì)損失的一個(gè)例子，在過(guò)去兩年中，勒索軟件對(duì)受害者造成的經(jīng)濟(jì)損失越來(lái)越嚴(yán)重。

一直關(guān)注這一趨勢(shì)的安全專家指出，有一些因素推動(dòng)了勒索軟件攻擊成本的增加，尤其是對(duì)醫(yī)療保健行業(yè)的組織來(lái)說(shuō)。其中最明顯的一點(diǎn)是，勒索軟件攻擊者向受害者索要的贖金有所增加。

美國(guó)網(wǎng)絡(luò)保險(xiǎn)聯(lián)盟去年對(duì)投保者的理賠數(shù)據(jù)進(jìn)行的調(diào)查表明，贖金要求平均成本從2020年第一季度的230000美元增長(zhǎng)到2020年第二季度的338,669美元，增長(zhǎng)了47%。Coveware公司的一項(xiàng)研究發(fā)現(xiàn)，勒索軟件的實(shí)際支出也從2019年第四季度略高于84000美元快速增長(zhǎng)到2020年第三季度的233817美元。

但是，勒索贖金本身只是總成本的一部分，對(duì)于拒絕接受勒索的組織來(lái)說(shuō)，贖金往往根本不是成本上升的一個(gè)因素。即使對(duì)這些組織來(lái)說(shuō)，在過(guò)去兩年的時(shí)間里，網(wǎng)絡(luò)攻擊造成的成本也在穩(wěn)步上升。安全專家表示，以下是勒索軟件攻擊導(dǎo)致成本上升??的5個(gè)原因：

1.停機(jī)成本

停機(jī)成本已經(jīng)成為與勒索軟件攻擊相關(guān)的最主要成本之一。受害者在遭受勒索軟件攻擊之后，通常可能需要數(shù)天甚至數(shù)周才能恢復(fù)。在此期間，組織正常服務(wù)可能會(huì)中斷，從而導(dǎo)致業(yè)務(wù)損失、機(jī)會(huì)成本損失、客戶信譽(yù)損失、服務(wù)等級(jí)協(xié)議(SLA)損失、品牌信譽(yù)損失以及一系列其他問(wèn)題。例如，美國(guó)聯(lián)合健康集團(tuán)(UHS)的大部分停機(jī)成本與損失收入有關(guān)，因?yàn)樵谕C(jī)期間無(wú)法像往常那樣為患者提供醫(yī)療護(hù)理服務(wù)，并且導(dǎo)致延遲支付賬單。

這樣的問(wèn)題可能會(huì)變得更糟。在最近幾個(gè)月中，網(wǎng)絡(luò)攻擊者已經(jīng)開(kāi)始以運(yùn)營(yíng)網(wǎng)絡(luò)為目標(biāo)，以最大限度地延長(zhǎng)受害者的停機(jī)時(shí)間，并增加受害者支付贖金的壓力。其中一個(gè)例子是今年早些時(shí)候?qū)Πb業(yè)巨頭WestRock公司的攻擊，這次網(wǎng)絡(luò)攻擊影響了該公司某些工廠和加工工廠的運(yùn)營(yíng)。2020年對(duì)汽車制造商本田公司的類似襲擊暫時(shí)中斷了該公司海外的一些工廠的運(yùn)營(yíng)。

Veritas公司去年對(duì)將近2700名IT專業(yè)人士進(jìn)行了調(diào)查，其中三分之二的受訪者估計(jì)，他們的組織至少需要5天的時(shí)間才能從勒索軟件攻擊中恢復(fù)過(guò)來(lái)。Coveware公司的另一份調(diào)查報(bào)告指出，全球2020年第四季度的平均停機(jī)時(shí)間顯著增加，平均為21天。

Datto公司首席信息安全官Ryan Weeks說(shuō)，該公司去年所做的一項(xiàng)調(diào)查表明，2020年與勒索軟件攻擊相關(guān)的平均停機(jī)成本比一年前高出了驚人的93%。他說(shuō)，“停機(jī)造成的成本損失往往比贖金本身要昂貴得多，停機(jī)成本的增長(zhǎng)確實(shí)使勒索軟件的流行成為現(xiàn)實(shí)。”

該公司的調(diào)查數(shù)據(jù)表明，勒索軟件攻擊造成的平均停機(jī)時(shí)間可能造成高達(dá)27.42萬(wàn)美元的損失，甚至遠(yuǎn)高于勒索軟件帶來(lái)的損失。Weeks說(shuō)，這可能使組織很容易接受攻擊者的勒索要求。他說(shuō)：“例如，佐治亞州亞特蘭大市在2018年遭受勒索軟件攻擊，使該市損失了至少1700萬(wàn)美元。但是，索要的勒索贖金只有51,000美元。”

Weeks說(shuō)，這些數(shù)字表明，組織需要制定周密的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計(jì)劃。在考慮業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，組織需要考慮諸如恢復(fù)時(shí)間目標(biāo)(RTO)(必須恢復(fù)業(yè)務(wù)操作的最長(zhǎng)持續(xù)時(shí)間)和恢復(fù)點(diǎn)目標(biāo)(RPO)之類的問(wèn)題，他們需要回溯多長(zhǎng)時(shí)間去檢索仍然可用的數(shù)據(jù)。他說(shuō)：“恢復(fù)時(shí)間目標(biāo)(RTO)有助于確定組織在沒(méi)有數(shù)據(jù)訪問(wèn)的情況下，在面臨風(fēng)險(xiǎn)之前能夠承受的最長(zhǎng)運(yùn)營(yíng)時(shí)間。另外，通過(guò)指定恢復(fù)點(diǎn)目標(biāo)(RPO)，可以知道需要多長(zhǎng)時(shí)間執(zhí)行一次數(shù)據(jù)備份。”

2.與雙重勒索有關(guān)的成本

在令人不安的發(fā)展過(guò)程中，勒索軟件運(yùn)營(yíng)商開(kāi)始從組織那里竊取大量敏感數(shù)據(jù)，然后再鎖定其系統(tǒng)，最后將所竊取的數(shù)據(jù)作為勒索贖金的手段。當(dāng)組織拒絕支付贖金時(shí)，勒索軟件攻擊者會(huì)通過(guò)為此目的構(gòu)建的暗網(wǎng)泄漏數(shù)據(jù)。

日本《日經(jīng)新聞》與Trend Micro公司合作進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，僅在2020年的前10個(gè)月，全球有1000多個(gè)組織就成為了這種雙重勒索攻擊的受害者。這種做法始于Maze勒索軟件家族運(yùn)營(yíng)商，但很快被攻擊者組織效仿，其中包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor勒索軟件家族的運(yùn)營(yíng)商。根據(jù)Coveware公司的調(diào)查，在去年第四季度發(fā)生的勒索軟件事件中，其中70%涉及數(shù)據(jù)泄露。

Acronis公司網(wǎng)絡(luò)保護(hù)研究副總裁Candid Wuest說(shuō)：“許多勒索軟件組織通常在加密數(shù)據(jù)之前先竊取數(shù)據(jù)，這增加了數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。這意味著更可能需要所有相關(guān)成本，例如企業(yè)信譽(yù)損失、法律費(fèi)用、監(jiān)管罰款和數(shù)據(jù)泄露清理服務(wù)，即使在沒(méi)有重大停機(jī)時(shí)間的情況下恢復(fù)系統(tǒng)也是如此。”

這種趨勢(shì)顛覆了與勒索軟件攻擊相關(guān)的傳統(tǒng)方法?，F(xiàn)在，勒索軟件的受害者(甚至是那些擁有最佳數(shù)據(jù)備份和恢復(fù)流程的受害者)現(xiàn)在必須應(yīng)對(duì)其敏感數(shù)據(jù)公開(kāi)泄漏或出售給競(jìng)爭(zhēng)對(duì)手的挑戰(zhàn)。Digital Shadows公司高級(jí)網(wǎng)絡(luò)威脅情報(bào)分析師Xue Yin Peh表示，受到勒索軟件攻擊的受害者還將受到監(jiān)管機(jī)構(gòu)的經(jīng)濟(jì)處罰。根據(jù)諸如歐盟的GDPR、加利福尼亞州的CCPA和HIPAA之類的隱私法規(guī)，受害者泄露數(shù)據(jù)可能構(gòu)成違規(guī)行為。

Peh指出，受害者還可能以第三方索賠或集體訴訟的形式面臨法律問(wèn)題。當(dāng)網(wǎng)絡(luò)攻擊者竊取和發(fā)布的數(shù)據(jù)涉及其他組織(例如第三方數(shù)據(jù)文件或客戶端數(shù)據(jù))時(shí)，發(fā)生此類問(wèn)題的可能性就會(huì)增加。如果泄露了消費(fèi)者數(shù)據(jù)，那么組織可能會(huì)面臨違規(guī)而受到處罰的成本，以及由于勒索軟件攻擊而導(dǎo)致的保險(xiǎn)費(fèi)用也可能會(huì)增加。

3.IT升級(jí)成本

在勒索軟件攻擊之后，受害者有時(shí)會(huì)低估所涉及的成本，不僅是對(duì)事件的響應(yīng)，而且是保護(hù)網(wǎng)絡(luò)免受進(jìn)一步攻擊的代價(jià)。在組織可能認(rèn)為最佳選擇是向勒索者支付贖金的情況下尤其如此。

SentinelOne公司SentinelLabs負(fù)責(zé)人Migo Kedem說(shuō)：“在支付贖金之后，受害者無(wú)法保證攻擊者不再進(jìn)行攻擊和勒索。他們無(wú)法保證勒索軟件攻擊者沒(méi)有在其系統(tǒng)上植入更多惡意軟件，也無(wú)法保證勒索者沒(méi)有對(duì)外出售或轉(zhuǎn)移其非法訪問(wèn)權(quán)給另一個(gè)勒索組織。并且無(wú)法保證攻擊者在獲得贖金之后不會(huì)刪除被盜數(shù)據(jù)，或放棄對(duì)受害網(wǎng)絡(luò)的訪問(wèn)。”

為了減輕進(jìn)一步的勒索攻擊，組織通常必須升級(jí)其基礎(chǔ)設(shè)施并實(shí)施更好的控制。Kedem說(shuō)：“受害者沒(méi)有考慮到的隱性成本是事件響應(yīng)和IT升級(jí)成本，這些是保護(hù)該網(wǎng)絡(luò)免受進(jìn)一步攻擊所必需的成本。”

4.支付贖金增加的成本

許多組織選擇支付贖金，認(rèn)為這比從頭恢復(fù)數(shù)據(jù)便宜。安全專家指出，這是一個(gè)嚴(yán)重的錯(cuò)誤。Sophos公司去年進(jìn)行的一項(xiàng)調(diào)查表明，超過(guò)四分之一(26%)的勒索軟件受害者向勒索者支付了贖金以取回?cái)?shù)據(jù)。另外，還有1%的受害者雖然支付了贖金，卻沒(méi)有贖回?cái)?shù)據(jù)。

Sophos公司發(fā)現(xiàn)，那些支付贖金的組織最終支付的總成本是未支付贖金組織的兩倍。對(duì)于確實(shí)支付贖金的組織來(lái)說(shuō)，勒索軟件攻擊的平均成本(包括停機(jī)、設(shè)備和網(wǎng)絡(luò)維修與恢復(fù)成本、人員時(shí)間、機(jī)會(huì)成本和贖金)約為140萬(wàn)美元，而未付贖金組織的平均成本約為73.3萬(wàn)美元。

Sophos公司的調(diào)查發(fā)現(xiàn)，在支付贖金之后，受害者仍然需要完成大量工作來(lái)恢復(fù)數(shù)據(jù)。據(jù)該公司稱，無(wú)論組織是從備份中恢復(fù)數(shù)據(jù)還是使用網(wǎng)絡(luò)攻擊者提供的解密密鑰，與數(shù)據(jù)恢復(fù)和恢復(fù)正常相關(guān)的成本大致相同。因此，支付贖金只會(huì)增加這些成本。

5.組織聲譽(yù)損失的成本

勒索軟件攻擊將會(huì)影響消費(fèi)者的信任和打擊信心，并導(dǎo)致組織失去客戶和業(yè)務(wù)。去年，Arcserve公司對(duì)來(lái)自美國(guó)、英國(guó)和其他國(guó)家/地區(qū)的近2,000名消費(fèi)者進(jìn)行的一項(xiàng)調(diào)查顯示，28%的消費(fèi)者表示，即使他們經(jīng)歷了一次服務(wù)中斷或無(wú)法訪問(wèn)其數(shù)據(jù)的情況，他們也會(huì)把業(yè)務(wù)轉(zhuǎn)移到其他組織。93%的受訪者表示，他們?cè)谫?gòu)買(mǎi)產(chǎn)品或服務(wù)之前會(huì)考慮組織的可信度，59%的受訪者表示，他們會(huì)避免與過(guò)去12個(gè)月遭遇網(wǎng)絡(luò)攻擊的組織開(kāi)展業(yè)務(wù)。

最近出現(xiàn)了一個(gè)名為“分布式拒絕機(jī)密”的組織，這可能很快會(huì)讓受害的組織難以隱瞞數(shù)據(jù)泄露事件。該組織以維基解密的模式，對(duì)外聲稱收集了勒索軟件攻擊者在網(wǎng)上泄露的大量數(shù)據(jù)，并表示將以公開(kāi)透明的名義發(fā)布這些數(shù)據(jù)。該組織已經(jīng)公布了多家公司的數(shù)據(jù)，并聲稱這些數(shù)據(jù)來(lái)自勒索軟件運(yùn)營(yíng)商用來(lái)泄露被盜數(shù)據(jù)的網(wǎng)站和論壇。