信息化觀察網(wǎng)

勒索軟件攻擊導(dǎo)致的全部成本中，贖金依然只占據(jù)一小部分，但相關(guān)成本卻在持續(xù)增長。

沒多少企業(yè)和機(jī)構(gòu)像美國環(huán)球健康服務(wù)（UHS）那么悲劇：2020年9月被勒索軟件攻擊搞癱網(wǎng)絡(luò)，此后相關(guān)成本累積到6700萬美元之巨。然而，UHS不過是勒索軟件攻擊導(dǎo)致沉重經(jīng)濟(jì)損失不斷累加的個(gè)案，過去兩年來，此類攻擊引發(fā)受害者持續(xù)失血的案例不知凡幾。

跟蹤勒索軟件攻擊趨勢(shì)的安全專家認(rèn)為，有多個(gè)因素在推升勒索軟件攻擊的相關(guān)成本，尤其是對(duì)醫(yī)療保健行業(yè)的企業(yè)和機(jī)構(gòu)而言。其中最明顯的是攻擊者索要贖金平均數(shù)額的上漲。

網(wǎng)絡(luò)保險(xiǎn)公司Coalition去年分析了保單持有人的索賠數(shù)據(jù)，發(fā)現(xiàn)平均贖金2020年第一季度剛過23萬美元，但2020年第二季度就躍升到近33.9萬美元了。有些攻擊者，比如Maze系勒索軟件背后的黑客，平均向受害者索要42萬美元的贖金。Coveware的研究揭示，實(shí)際勒索軟件支出也直線上升，從2019年第四季度的稍稍超過8.4萬美元，飆升至2020年第三季度的近23.4萬美元。

但是，贖金本身只是總成本的一部分，而且對(duì)拒絕接受勒索的企業(yè)和機(jī)構(gòu)而言往往根本無需考慮。不過，即使拒絕支付贖金，攻擊所致成本在過去兩年間還是不斷增加了。安全專家表示，勒索軟件攻擊相關(guān)成本不斷上升很大程度上是由于下列五個(gè)常見原因。

1.宕機(jī)成本

勒索軟件攻擊相關(guān)成本中，宕機(jī)導(dǎo)致的成本即使不算最大，也是比重較大的幾項(xiàng)之一了。遭受勒索軟件攻擊之后，受害者往往需要花費(fèi)數(shù)天乃至數(shù)周的時(shí)間恢復(fù)系統(tǒng)。期間正常服務(wù)可能遭到嚴(yán)重干擾，導(dǎo)致業(yè)務(wù)損失、機(jī)會(huì)喪失、客戶好感度下滑、SLA被打破、品牌聲譽(yù)跌落等等。例如，UHS的巨額損失就是源自無法像平常一樣提供病患護(hù)理服務(wù)，以及開單延遲。

此類問題甚至還會(huì)更加嚴(yán)重。最近幾個(gè)月，惡意黑客開始對(duì)運(yùn)營技術(shù)網(wǎng)絡(luò)下手，意圖延長受害者的宕機(jī)時(shí)間，增加他們支付贖金的壓力。今年早些時(shí)候包裝巨頭WestRock Company遭遇的攻擊就是一例，該公司多處制造廠和加工廠的運(yùn)營受到影響。本田公司在2020年也遭遇了類似的攻擊，幾間海外工廠暫時(shí)中斷運(yùn)營。

Veritas去年委托執(zhí)行的一項(xiàng)調(diào)查面向近2700名IT專業(yè)人士，三分之二的受訪者估計(jì)自家公司至少要花費(fèi)五天時(shí)間才能從勒索軟件攻擊中恢復(fù)。Coveware另一份報(bào)告中的平均宕機(jī)時(shí)間甚至更長，2020年第四季度的平均宕機(jī)時(shí)間高達(dá)21天之久。

Datto首席信息安全官Ryan Weeks稱，公司去年的調(diào)查顯示，2020年勒索軟件攻擊相關(guān)宕機(jī)造成的平均成本比此前一年高出了93%，實(shí)在令人驚異。他表示：“宕機(jī)往往比贖金本身更傷錢。宕機(jī)成本的飆升速度讓我們不得不慎重對(duì)待勒索軟件攻擊潮。”

該公司的數(shù)據(jù)顯示，源自勒索軟件攻擊的宕機(jī)平均能產(chǎn)生高達(dá)27.42萬美元的成本，相比平均贖金確實(shí)要高得多。這就導(dǎo)致公司企業(yè)很容易屈服于攻擊者，乖乖支付贖金以求盡快恢復(fù)正常。例如，2018年，美國佐治亞州亞特蘭大市遭遇勒索軟件攻擊，該市拒絕支付贖金，系統(tǒng)恢復(fù)費(fèi)用高達(dá)1700萬美元。然而，贖金本身僅價(jià)值5.1萬美元。

此類數(shù)據(jù)表明，企業(yè)和機(jī)構(gòu)需要設(shè)置考慮周全的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計(jì)劃。考慮業(yè)務(wù)連續(xù)性計(jì)劃的時(shí)候，企業(yè)和機(jī)構(gòu)需關(guān)注恢復(fù)時(shí)間目標(biāo)（RTO），也就是業(yè)務(wù)運(yùn)營最長在多少時(shí)間內(nèi)必須恢復(fù)；以及恢復(fù)點(diǎn)目標(biāo)（RPO），也就是需回溯到多久之前的可用數(shù)據(jù)。計(jì)算RTO有助于確定公司在無法訪問數(shù)據(jù)的情況下能撐多長時(shí)間而不陷入危機(jī)。指定RPO則可以弄清楚公司執(zhí)行數(shù)據(jù)備份的頻率。

2.雙重勒索相關(guān)的成本

勒索軟件攻擊的趨勢(shì)令人備感憂慮，攻擊者開始在鎖定系統(tǒng)前盜取大量敏感數(shù)據(jù)，然后將這些被盜數(shù)據(jù)作為額外的籌碼再行勒索。只要受害者拒絕支付贖金，攻擊者就會(huì)通過暗網(wǎng)泄露數(shù)據(jù)。

日本日經(jīng)與趨勢(shì)科技聯(lián)合進(jìn)行的調(diào)查研究發(fā)現(xiàn)，僅2020年1月到10月，全球超過1000家企業(yè)和機(jī)構(gòu)淪為了此類雙重勒索攻擊的受害者。據(jù)稱，此類攻擊始于Maze勒索軟件家族背后的黑客，然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索軟件攻擊團(tuán)伙迅速跟進(jìn)。上個(gè)季度，Coveware響應(yīng)的勒索軟件事件中70%都涉及數(shù)據(jù)盜竊。

Acronis網(wǎng)絡(luò)防護(hù)研究副總裁Candid Wuest稱：“事實(shí)上，許多勒索軟件攻擊團(tuán)伙目前在加密之前盜取數(shù)據(jù)。這就增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)，意味著即便系統(tǒng)宕機(jī)時(shí)間不長就恢復(fù)如初，公司可能也需要承擔(dān)品牌形象損害、法務(wù)費(fèi)用、監(jiān)管罰款和數(shù)據(jù)泄露清理服務(wù)等所有相關(guān)成本。”

這一趨勢(shì)顛覆了對(duì)勒索軟件攻擊所致?lián)p失的一貫認(rèn)知。無論數(shù)據(jù)備份和恢復(fù)流程多么完美，勒索軟件受害者如今必須直面敏感數(shù)據(jù)被公開披露或賣給競(jìng)爭(zhēng)對(duì)手的真實(shí)可能性。因此，Digital Shadows高級(jí)網(wǎng)絡(luò)威脅情報(bào)分析師Xue Yin Peh認(rèn)為，勒索軟件攻擊的受害者將不得不承受監(jiān)管機(jī)構(gòu)經(jīng)濟(jì)處罰的沖擊。根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）、美國《加州消費(fèi)者隱私法案》（CCPA）和《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA）等監(jiān)管規(guī)定，被盜數(shù)據(jù)的披露和暴露可能構(gòu)成數(shù)據(jù)泄露。

Peh指出：“受害者還可能要面對(duì)第三方索賠或集體訴訟等形式的法律后果。”如果被攻擊者盜取并披露的數(shù)據(jù)涉及其他企業(yè)和機(jī)構(gòu)，比如第三方數(shù)據(jù)文件或客戶數(shù)據(jù)，那遭遇此類麻煩的概率還會(huì)增加。只要消費(fèi)者數(shù)據(jù)被曝，公司就可以預(yù)期圍繞數(shù)據(jù)泄露通知的各項(xiàng)成本了。網(wǎng)絡(luò)保險(xiǎn)費(fèi)用也可能因?yàn)槔账鬈浖舳蠞q。

3.IT升級(jí)成本

勒索軟件攻擊結(jié)束后，企業(yè)和機(jī)構(gòu)有時(shí)候會(huì)低估事件響應(yīng)和防止后續(xù)攻擊的成本。如果受害者認(rèn)為最佳選項(xiàng)是支付贖金，那么這種情況還會(huì)更加嚴(yán)重。

SentinelOne的SentinelLabs主管Migo Kedem表示：“在支付贖金拿回被感染機(jī)器的情形下，受害者并不能保證攻擊者不再染指他們的企業(yè)。”誰都無法確定攻擊者有沒有在系統(tǒng)中植入更多惡意軟件，也無法保證他們沒有將非法訪問權(quán)售賣或轉(zhuǎn)移給其他網(wǎng)絡(luò)犯罪團(tuán)伙。攻擊者一旦收到贖金就會(huì)清理惡意軟件、刪除被盜數(shù)據(jù)、放棄受害網(wǎng)絡(luò)訪問權(quán)這種事，誰敢信？

為緩解進(jìn)一步攻擊，公司企業(yè)常常必須升級(jí)自身基礎(chǔ)設(shè)施，實(shí)現(xiàn)更好的控制措施。Kedem稱：“受害者沒考慮到的隱藏成本包括保護(hù)網(wǎng)絡(luò)免遭進(jìn)一步攻擊的事件響應(yīng)和IT升級(jí)成本。”

4.贖金支付成本上升

很多公司支付贖金是覺得贖金比從頭開始恢復(fù)數(shù)據(jù)的開銷便宜。但安全專家表示，這種認(rèn)知大錯(cuò)特錯(cuò)。Sophos去年進(jìn)行的調(diào)查顯示，超過四分之一（26%）的勒索軟件受害者通過支付贖金找回了數(shù)據(jù)。但有1%既付出了贖金，也沒拿回?cái)?shù)據(jù)。

Sophos發(fā)現(xiàn)，相比不向攻擊者低頭，那些確實(shí)支付了贖金的受害者最終付出了雙份的代價(jià)。包括宕機(jī)、設(shè)備與網(wǎng)絡(luò)修復(fù)開支、工時(shí)費(fèi)、機(jī)會(huì)成本和贖金在內(nèi)，確實(shí)支付了贖金的公司企業(yè)平均產(chǎn)生約1400萬美元的勒索軟件攻擊平均成本，而不支付贖金的受害企業(yè)其平均成本為73.3萬美元。

個(gè)中原因就在于，受害者仍然需要做許多工作來恢復(fù)數(shù)據(jù)。Sophos表示，與恢復(fù)數(shù)據(jù)和重返正軌相關(guān)的成本，基本上相當(dāng)于公司企業(yè)從備份或用攻擊者提供的解密密鑰恢復(fù)數(shù)據(jù)的費(fèi)用。所以，支付贖金僅僅是增加成本而已。

5.聲譽(yù)損害成本

勒索軟件攻擊會(huì)侵蝕消費(fèi)者信任與信心，造成公司流失客戶和業(yè)務(wù)。去年，Arcserve針對(duì)美國、英國及其他國家的2000名消費(fèi)者進(jìn)行了調(diào)查，發(fā)現(xiàn)28%的受訪者表示，一旦經(jīng)歷過哪怕一次服務(wù)中斷或數(shù)據(jù)無法訪問，他們就會(huì)轉(zhuǎn)向別家了。超過九成（94%）的受訪者稱，會(huì)在購買前考慮公司的可信度；59%表示會(huì)避開過去一年中遭受過網(wǎng)絡(luò)攻擊的公司。

近期一個(gè)自稱“分布式拒絕秘密”（Distributed Denial of Secrets）的組織浮出水面，令公司企業(yè)更難低調(diào)處理數(shù)據(jù)泄露事件了。該組織以維基解密為樣板，宣稱收集了勒索軟件攻擊者泄露在網(wǎng)上的大量數(shù)據(jù)，并將以信息透明的名義公開這些數(shù)據(jù)。已有多家公司的數(shù)據(jù)遭到該組織曝光，據(jù)稱數(shù)據(jù)都是從勒索軟件攻擊團(tuán)伙用來泄露被盜數(shù)據(jù)的網(wǎng)站和論壇上獲取的。