勒索軟件攻擊成本上升??的5個(gè)原因

Jaikumar Vijayan
在勒索軟件攻擊之后,受害者有時(shí)會(huì)低估所涉及的成本,不僅是對事件的響應(yīng),而且是保護(hù)網(wǎng)絡(luò)免受進(jìn)一步攻擊的代價(jià)。在組織可能認(rèn)為最佳選擇是向勒索者支付贖金的情況下尤其如此。

調(diào)查表明,勒索贖金仍然只是組織遭遇網(wǎng)絡(luò)攻擊造成損失的一小部分,但相關(guān)成本卻在增加。

在2020年9月遭到勒索攻擊之后,美國聯(lián)合健康集團(tuán)(UHS)最終支付了6700萬美元的勒索相關(guān)費(fèi)用。但是,該組織只是遭遇勒索軟件攻擊造成重大經(jīng)濟(jì)損失的一個(gè)例子,在過去兩年中,勒索軟件對受害者造成的經(jīng)濟(jì)損失越來越嚴(yán)重。

一直關(guān)注這一趨勢的安全專家指出,有一些因素推動(dòng)了勒索軟件攻擊成本的增加,尤其是對醫(yī)療保健行業(yè)的組織來說。其中最明顯的一點(diǎn)是,勒索軟件攻擊者向受害者索要的贖金有所增加。

美國網(wǎng)絡(luò)保險(xiǎn)聯(lián)盟去年對投保者的理賠數(shù)據(jù)進(jìn)行的調(diào)查表明,贖金要求平均成本從2020年第一季度的230000美元增長到2020年第二季度的338,669美元,增長了47%。Coveware公司的一項(xiàng)研究發(fā)現(xiàn),勒索軟件的實(shí)際支出也從2019年第四季度略高于84000美元快速增長到2020年第三季度的233817美元。

但是,勒索贖金本身只是總成本的一部分,對于拒絕接受勒索的組織來說,贖金往往根本不是成本上升的一個(gè)因素。即使對這些組織來說,在過去兩年的時(shí)間里,網(wǎng)絡(luò)攻擊造成的成本也在穩(wěn)步上升。安全專家表示,以下是勒索軟件攻擊導(dǎo)致成本上升??的5個(gè)原因:

1.停機(jī)成本

停機(jī)成本已經(jīng)成為與勒索軟件攻擊相關(guān)的最主要成本之一。受害者在遭受勒索軟件攻擊之后,通??赡苄枰獢?shù)天甚至數(shù)周才能恢復(fù)。在此期間,組織正常服務(wù)可能會(huì)中斷,從而導(dǎo)致業(yè)務(wù)損失、機(jī)會(huì)成本損失、客戶信譽(yù)損失、服務(wù)等級協(xié)議(SLA)損失、品牌信譽(yù)損失以及一系列其他問題。例如,美國聯(lián)合健康集團(tuán)(UHS)的大部分停機(jī)成本與損失收入有關(guān),因?yàn)樵谕C(jī)期間無法像往常那樣為患者提供醫(yī)療護(hù)理服務(wù),并且導(dǎo)致延遲支付賬單。

這樣的問題可能會(huì)變得更糟。在最近幾個(gè)月中,網(wǎng)絡(luò)攻擊者已經(jīng)開始以運(yùn)營網(wǎng)絡(luò)為目標(biāo),以最大限度地延長受害者的停機(jī)時(shí)間,并增加受害者支付贖金的壓力。其中一個(gè)例子是今年早些時(shí)候?qū)Πb業(yè)巨頭WestRock公司的攻擊,這次網(wǎng)絡(luò)攻擊影響了該公司某些工廠和加工工廠的運(yùn)營。2020年對汽車制造商本田公司的類似襲擊暫時(shí)中斷了該公司海外的一些工廠的運(yùn)營。

Veritas公司去年對將近2700名IT專業(yè)人士進(jìn)行了調(diào)查,其中三分之二的受訪者估計(jì),他們的組織至少需要5天的時(shí)間才能從勒索軟件攻擊中恢復(fù)過來。Coveware公司的另一份調(diào)查報(bào)告指出,全球2020年第四季度的平均停機(jī)時(shí)間顯著增加,平均為21天。

Datto公司首席信息安全官Ryan Weeks說,該公司去年所做的一項(xiàng)調(diào)查表明,2020年與勒索軟件攻擊相關(guān)的平均停機(jī)成本比一年前高出了驚人的93%。他說,“停機(jī)造成的成本損失往往比贖金本身要昂貴得多,停機(jī)成本的增長確實(shí)使勒索軟件的流行成為現(xiàn)實(shí)。”

該公司的調(diào)查數(shù)據(jù)表明,勒索軟件攻擊造成的平均停機(jī)時(shí)間可能造成高達(dá)27.42萬美元的損失,甚至遠(yuǎn)高于勒索軟件帶來的損失。Weeks說,這可能使組織很容易接受攻擊者的勒索要求。他說:“例如,佐治亞州亞特蘭大市在2018年遭受勒索軟件攻擊,使該市損失了至少1700萬美元。但是,索要的勒索贖金只有51,000美元。”

Weeks說,這些數(shù)字表明,組織需要制定周密的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計(jì)劃。在考慮業(yè)務(wù)連續(xù)性計(jì)劃時(shí),組織需要考慮諸如恢復(fù)時(shí)間目標(biāo)(RTO)(必須恢復(fù)業(yè)務(wù)操作的最長持續(xù)時(shí)間)和恢復(fù)點(diǎn)目標(biāo)(RPO)之類的問題,他們需要回溯多長時(shí)間去檢索仍然可用的數(shù)據(jù)。他說:“恢復(fù)時(shí)間目標(biāo)(RTO)有助于確定組織在沒有數(shù)據(jù)訪問的情況下,在面臨風(fēng)險(xiǎn)之前能夠承受的最長運(yùn)營時(shí)間。另外,通過指定恢復(fù)點(diǎn)目標(biāo)(RPO),可以知道需要多長時(shí)間執(zhí)行一次數(shù)據(jù)備份。”

2.與雙重勒索有關(guān)的成本

在令人不安的發(fā)展過程中,勒索軟件運(yùn)營商開始從組織那里竊取大量敏感數(shù)據(jù),然后再鎖定其系統(tǒng),最后將所竊取的數(shù)據(jù)作為勒索贖金的手段。當(dāng)組織拒絕支付贖金時(shí),勒索軟件攻擊者會(huì)通過為此目的構(gòu)建的暗網(wǎng)泄漏數(shù)據(jù)。

日本《日經(jīng)新聞》與Trend Micro公司合作進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),僅在2020年的前10個(gè)月,全球有1000多個(gè)組織就成為了這種雙重勒索攻擊的受害者。這種做法始于Maze勒索軟件家族運(yùn)營商,但很快被攻擊者組織效仿,其中包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor勒索軟件家族的運(yùn)營商。根據(jù)Coveware公司的調(diào)查,在去年第四季度發(fā)生的勒索軟件事件中,其中70%涉及數(shù)據(jù)泄露。

Acronis公司網(wǎng)絡(luò)保護(hù)研究副總裁Candid Wuest說:“許多勒索軟件組織通常在加密數(shù)據(jù)之前先竊取數(shù)據(jù),這增加了數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。這意味著更可能需要所有相關(guān)成本,例如企業(yè)信譽(yù)損失、法律費(fèi)用、監(jiān)管罰款和數(shù)據(jù)泄露清理服務(wù),即使在沒有重大停機(jī)時(shí)間的情況下恢復(fù)系統(tǒng)也是如此。”

這種趨勢顛覆了與勒索軟件攻擊相關(guān)的傳統(tǒng)方法?,F(xiàn)在,勒索軟件的受害者(甚至是那些擁有最佳數(shù)據(jù)備份和恢復(fù)流程的受害者)現(xiàn)在必須應(yīng)對其敏感數(shù)據(jù)公開泄漏或出售給競爭對手的挑戰(zhàn)。Digital Shadows公司高級網(wǎng)絡(luò)威脅情報(bào)分析師Xue Yin Peh表示,受到勒索軟件攻擊的受害者還將受到監(jiān)管機(jī)構(gòu)的經(jīng)濟(jì)處罰。根據(jù)諸如歐盟的GDPR、加利福尼亞州的CCPA和HIPAA之類的隱私法規(guī),受害者泄露數(shù)據(jù)可能構(gòu)成違規(guī)行為。

Peh指出,受害者還可能以第三方索賠或集體訴訟的形式面臨法律問題。當(dāng)網(wǎng)絡(luò)攻擊者竊取和發(fā)布的數(shù)據(jù)涉及其他組織(例如第三方數(shù)據(jù)文件或客戶端數(shù)據(jù))時(shí),發(fā)生此類問題的可能性就會(huì)增加。如果泄露了消費(fèi)者數(shù)據(jù),那么組織可能會(huì)面臨違規(guī)而受到處罰的成本,以及由于勒索軟件攻擊而導(dǎo)致的保險(xiǎn)費(fèi)用也可能會(huì)增加。

3.IT升級成本

在勒索軟件攻擊之后,受害者有時(shí)會(huì)低估所涉及的成本,不僅是對事件的響應(yīng),而且是保護(hù)網(wǎng)絡(luò)免受進(jìn)一步攻擊的代價(jià)。在組織可能認(rèn)為最佳選擇是向勒索者支付贖金的情況下尤其如此。

SentinelOne公司SentinelLabs負(fù)責(zé)人Migo Kedem說:“在支付贖金之后,受害者無法保證攻擊者不再進(jìn)行攻擊和勒索。他們無法保證勒索軟件攻擊者沒有在其系統(tǒng)上植入更多惡意軟件,也無法保證勒索者沒有對外出售或轉(zhuǎn)移其非法訪問權(quán)給另一個(gè)勒索組織。并且無法保證攻擊者在獲得贖金之后不會(huì)刪除被盜數(shù)據(jù),或放棄對受害網(wǎng)絡(luò)的訪問。”

為了減輕進(jìn)一步的勒索攻擊,組織通常必須升級其基礎(chǔ)設(shè)施并實(shí)施更好的控制。Kedem說:“受害者沒有考慮到的隱性成本是事件響應(yīng)和IT升級成本,這些是保護(hù)該網(wǎng)絡(luò)免受進(jìn)一步攻擊所必需的成本。”

4.支付贖金增加的成本

許多組織選擇支付贖金,認(rèn)為這比從頭恢復(fù)數(shù)據(jù)便宜。安全專家指出,這是一個(gè)嚴(yán)重的錯(cuò)誤。Sophos公司去年進(jìn)行的一項(xiàng)調(diào)查表明,超過四分之一(26%)的勒索軟件受害者向勒索者支付了贖金以取回?cái)?shù)據(jù)。另外,還有1%的受害者雖然支付了贖金,卻沒有贖回?cái)?shù)據(jù)。

Sophos公司發(fā)現(xiàn),那些支付贖金的組織最終支付的總成本是未支付贖金組織的兩倍。對于確實(shí)支付贖金的組織來說,勒索軟件攻擊的平均成本(包括停機(jī)、設(shè)備和網(wǎng)絡(luò)維修與恢復(fù)成本、人員時(shí)間、機(jī)會(huì)成本和贖金)約為140萬美元,而未付贖金組織的平均成本約為73.3萬美元。

Sophos公司的調(diào)查發(fā)現(xiàn),在支付贖金之后,受害者仍然需要完成大量工作來恢復(fù)數(shù)據(jù)。據(jù)該公司稱,無論組織是從備份中恢復(fù)數(shù)據(jù)還是使用網(wǎng)絡(luò)攻擊者提供的解密密鑰,與數(shù)據(jù)恢復(fù)和恢復(fù)正常相關(guān)的成本大致相同。因此,支付贖金只會(huì)增加這些成本。

5.組織聲譽(yù)損失的成本

勒索軟件攻擊將會(huì)影響消費(fèi)者的信任和打擊信心,并導(dǎo)致組織失去客戶和業(yè)務(wù)。去年,Arcserve公司對來自美國、英國和其他國家/地區(qū)的近2,000名消費(fèi)者進(jìn)行的一項(xiàng)調(diào)查顯示,28%的消費(fèi)者表示,即使他們經(jīng)歷了一次服務(wù)中斷或無法訪問其數(shù)據(jù)的情況,他們也會(huì)把業(yè)務(wù)轉(zhuǎn)移到其他組織。93%的受訪者表示,他們在購買產(chǎn)品或服務(wù)之前會(huì)考慮組織的可信度,59%的受訪者表示,他們會(huì)避免與過去12個(gè)月遭遇網(wǎng)絡(luò)攻擊的組織開展業(yè)務(wù)。

最近出現(xiàn)了一個(gè)名為“分布式拒絕機(jī)密”的組織,這可能很快會(huì)讓受害的組織難以隱瞞數(shù)據(jù)泄露事件。該組織以維基解密的模式,對外聲稱收集了勒索軟件攻擊者在網(wǎng)上泄露的大量數(shù)據(jù),并表示將以公開透明的名義發(fā)布這些數(shù)據(jù)。該組織已經(jīng)公布了多家公司的數(shù)據(jù),并聲稱這些數(shù)據(jù)來自勒索軟件運(yùn)營商用來泄露被盜數(shù)據(jù)的網(wǎng)站和論壇。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論