勒索軟件攻擊導(dǎo)致?lián)p失上升的五種原因

勒索軟件攻擊相關(guān)成本中,宕機(jī)導(dǎo)致的成本即使不算最大,也是比重較大的幾項(xiàng)之一了。遭受勒索軟件攻擊之后,受害者往往需要花費(fèi)數(shù)天乃至數(shù)周的時(shí)間恢復(fù)系統(tǒng)。期間正常服務(wù)可能遭到嚴(yán)重干擾,導(dǎo)致業(yè)務(wù)損失、機(jī)會(huì)喪失、客戶好感度下滑、SLA被打破、品牌聲譽(yù)跌落等等。

360截圖16450626515344.png

勒索軟件攻擊導(dǎo)致的全部成本中,贖金依然只占據(jù)一小部分,但相關(guān)成本卻在持續(xù)增長。

沒多少企業(yè)和機(jī)構(gòu)像美國環(huán)球健康服務(wù)(UHS)那么悲劇:2020年9月被勒索軟件攻擊搞癱網(wǎng)絡(luò),此后相關(guān)成本累積到6700萬美元之巨。然而,UHS不過是勒索軟件攻擊導(dǎo)致沉重經(jīng)濟(jì)損失不斷累加的個(gè)案,過去兩年來,此類攻擊引發(fā)受害者持續(xù)失血的案例不知凡幾。

跟蹤勒索軟件攻擊趨勢(shì)的安全專家認(rèn)為,有多個(gè)因素在推升勒索軟件攻擊的相關(guān)成本,尤其是對(duì)醫(yī)療保健行業(yè)的企業(yè)和機(jī)構(gòu)而言。其中最明顯的是攻擊者索要贖金平均數(shù)額的上漲。

網(wǎng)絡(luò)保險(xiǎn)公司Coalition去年分析了保單持有人的索賠數(shù)據(jù),發(fā)現(xiàn)平均贖金2020年第一季度剛過23萬美元,但2020年第二季度就躍升到近33.9萬美元了。有些攻擊者,比如Maze系勒索軟件背后的黑客,平均向受害者索要42萬美元的贖金。Coveware的研究揭示,實(shí)際勒索軟件支出也直線上升,從2019年第四季度的稍稍超過8.4萬美元,飆升至2020年第三季度的近23.4萬美元。

但是,贖金本身只是總成本的一部分,而且對(duì)拒絕接受勒索的企業(yè)和機(jī)構(gòu)而言往往根本無需考慮。不過,即使拒絕支付贖金,攻擊所致成本在過去兩年間還是不斷增加了。安全專家表示,勒索軟件攻擊相關(guān)成本不斷上升很大程度上是由于下列五個(gè)常見原因。

1.宕機(jī)成本

勒索軟件攻擊相關(guān)成本中,宕機(jī)導(dǎo)致的成本即使不算最大,也是比重較大的幾項(xiàng)之一了。遭受勒索軟件攻擊之后,受害者往往需要花費(fèi)數(shù)天乃至數(shù)周的時(shí)間恢復(fù)系統(tǒng)。期間正常服務(wù)可能遭到嚴(yán)重干擾,導(dǎo)致業(yè)務(wù)損失、機(jī)會(huì)喪失、客戶好感度下滑、SLA被打破、品牌聲譽(yù)跌落等等。例如,UHS的巨額損失就是源自無法像平常一樣提供病患護(hù)理服務(wù),以及開單延遲。

此類問題甚至還會(huì)更加嚴(yán)重。最近幾個(gè)月,惡意黑客開始對(duì)運(yùn)營技術(shù)網(wǎng)絡(luò)下手,意圖延長受害者的宕機(jī)時(shí)間,增加他們支付贖金的壓力。今年早些時(shí)候包裝巨頭WestRock Company遭遇的攻擊就是一例,該公司多處制造廠和加工廠的運(yùn)營受到影響。本田公司在2020年也遭遇了類似的攻擊,幾間海外工廠暫時(shí)中斷運(yùn)營。

Veritas去年委托執(zhí)行的一項(xiàng)調(diào)查面向近2700名IT專業(yè)人士,三分之二的受訪者估計(jì)自家公司至少要花費(fèi)五天時(shí)間才能從勒索軟件攻擊中恢復(fù)。Coveware另一份報(bào)告中的平均宕機(jī)時(shí)間甚至更長,2020年第四季度的平均宕機(jī)時(shí)間高達(dá)21天之久。

Datto首席信息安全官Ryan Weeks稱,公司去年的調(diào)查顯示,2020年勒索軟件攻擊相關(guān)宕機(jī)造成的平均成本比此前一年高出了93%,實(shí)在令人驚異。他表示:“宕機(jī)往往比贖金本身更傷錢。宕機(jī)成本的飆升速度讓我們不得不慎重對(duì)待勒索軟件攻擊潮。”

該公司的數(shù)據(jù)顯示,源自勒索軟件攻擊的宕機(jī)平均能產(chǎn)生高達(dá)27.42萬美元的成本,相比平均贖金確實(shí)要高得多。這就導(dǎo)致公司企業(yè)很容易屈服于攻擊者,乖乖支付贖金以求盡快恢復(fù)正常。例如,2018年,美國佐治亞州亞特蘭大市遭遇勒索軟件攻擊,該市拒絕支付贖金,系統(tǒng)恢復(fù)費(fèi)用高達(dá)1700萬美元。然而,贖金本身僅價(jià)值5.1萬美元。

此類數(shù)據(jù)表明,企業(yè)和機(jī)構(gòu)需要設(shè)置考慮周全的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計(jì)劃。考慮業(yè)務(wù)連續(xù)性計(jì)劃的時(shí)候,企業(yè)和機(jī)構(gòu)需關(guān)注恢復(fù)時(shí)間目標(biāo)(RTO),也就是業(yè)務(wù)運(yùn)營最長在多少時(shí)間內(nèi)必須恢復(fù);以及恢復(fù)點(diǎn)目標(biāo)(RPO),也就是需回溯到多久之前的可用數(shù)據(jù)。計(jì)算RTO有助于確定公司在無法訪問數(shù)據(jù)的情況下能撐多長時(shí)間而不陷入危機(jī)。指定RPO則可以弄清楚公司執(zhí)行數(shù)據(jù)備份的頻率。

2.雙重勒索相關(guān)的成本

勒索軟件攻擊的趨勢(shì)令人備感憂慮,攻擊者開始在鎖定系統(tǒng)前盜取大量敏感數(shù)據(jù),然后將這些被盜數(shù)據(jù)作為額外的籌碼再行勒索。只要受害者拒絕支付贖金,攻擊者就會(huì)通過暗網(wǎng)泄露數(shù)據(jù)。

日本日經(jīng)與趨勢(shì)科技聯(lián)合進(jìn)行的調(diào)查研究發(fā)現(xiàn),僅2020年1月到10月,全球超過1000家企業(yè)和機(jī)構(gòu)淪為了此類雙重勒索攻擊的受害者。據(jù)稱,此類攻擊始于Maze勒索軟件家族背后的黑客,然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索軟件攻擊團(tuán)伙迅速跟進(jìn)。上個(gè)季度,Coveware響應(yīng)的勒索軟件事件中70%都涉及數(shù)據(jù)盜竊。

Acronis網(wǎng)絡(luò)防護(hù)研究副總裁Candid Wuest稱:“事實(shí)上,許多勒索軟件攻擊團(tuán)伙目前在加密之前盜取數(shù)據(jù)。這就增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn),意味著即便系統(tǒng)宕機(jī)時(shí)間不長就恢復(fù)如初,公司可能也需要承擔(dān)品牌形象損害、法務(wù)費(fèi)用、監(jiān)管罰款和數(shù)據(jù)泄露清理服務(wù)等所有相關(guān)成本。”

這一趨勢(shì)顛覆了對(duì)勒索軟件攻擊所致?lián)p失的一貫認(rèn)知。無論數(shù)據(jù)備份和恢復(fù)流程多么完美,勒索軟件受害者如今必須直面敏感數(shù)據(jù)被公開披露或賣給競(jìng)爭(zhēng)對(duì)手的真實(shí)可能性。因此,Digital Shadows高級(jí)網(wǎng)絡(luò)威脅情報(bào)分析師Xue Yin Peh認(rèn)為,勒索軟件攻擊的受害者將不得不承受監(jiān)管機(jī)構(gòu)經(jīng)濟(jì)處罰的沖擊。根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)、美國《加州消費(fèi)者隱私法案》(CCPA)和《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)等監(jiān)管規(guī)定,被盜數(shù)據(jù)的披露和暴露可能構(gòu)成數(shù)據(jù)泄露。

Peh指出:“受害者還可能要面對(duì)第三方索賠或集體訴訟等形式的法律后果。”如果被攻擊者盜取并披露的數(shù)據(jù)涉及其他企業(yè)和機(jī)構(gòu),比如第三方數(shù)據(jù)文件或客戶數(shù)據(jù),那遭遇此類麻煩的概率還會(huì)增加。只要消費(fèi)者數(shù)據(jù)被曝,公司就可以預(yù)期圍繞數(shù)據(jù)泄露通知的各項(xiàng)成本了。網(wǎng)絡(luò)保險(xiǎn)費(fèi)用也可能因?yàn)槔账鬈浖舳蠞q。

3.IT升級(jí)成本

勒索軟件攻擊結(jié)束后,企業(yè)和機(jī)構(gòu)有時(shí)候會(huì)低估事件響應(yīng)和防止后續(xù)攻擊的成本。如果受害者認(rèn)為最佳選項(xiàng)是支付贖金,那么這種情況還會(huì)更加嚴(yán)重。

SentinelOne的SentinelLabs主管Migo Kedem表示:“在支付贖金拿回被感染機(jī)器的情形下,受害者并不能保證攻擊者不再染指他們的企業(yè)。”誰都無法確定攻擊者有沒有在系統(tǒng)中植入更多惡意軟件,也無法保證他們沒有將非法訪問權(quán)售賣或轉(zhuǎn)移給其他網(wǎng)絡(luò)犯罪團(tuán)伙。攻擊者一旦收到贖金就會(huì)清理惡意軟件、刪除被盜數(shù)據(jù)、放棄受害網(wǎng)絡(luò)訪問權(quán)這種事,誰敢信?

為緩解進(jìn)一步攻擊,公司企業(yè)常常必須升級(jí)自身基礎(chǔ)設(shè)施,實(shí)現(xiàn)更好的控制措施。Kedem稱:“受害者沒考慮到的隱藏成本包括保護(hù)網(wǎng)絡(luò)免遭進(jìn)一步攻擊的事件響應(yīng)和IT升級(jí)成本。”

4.贖金支付成本上升

很多公司支付贖金是覺得贖金比從頭開始恢復(fù)數(shù)據(jù)的開銷便宜。但安全專家表示,這種認(rèn)知大錯(cuò)特錯(cuò)。Sophos去年進(jìn)行的調(diào)查顯示,超過四分之一(26%)的勒索軟件受害者通過支付贖金找回了數(shù)據(jù)。但有1%既付出了贖金,也沒拿回?cái)?shù)據(jù)。

Sophos發(fā)現(xiàn),相比不向攻擊者低頭,那些確實(shí)支付了贖金的受害者最終付出了雙份的代價(jià)。包括宕機(jī)、設(shè)備與網(wǎng)絡(luò)修復(fù)開支、工時(shí)費(fèi)、機(jī)會(huì)成本和贖金在內(nèi),確實(shí)支付了贖金的公司企業(yè)平均產(chǎn)生約1400萬美元的勒索軟件攻擊平均成本,而不支付贖金的受害企業(yè)其平均成本為73.3萬美元。

個(gè)中原因就在于,受害者仍然需要做許多工作來恢復(fù)數(shù)據(jù)。Sophos表示,與恢復(fù)數(shù)據(jù)和重返正軌相關(guān)的成本,基本上相當(dāng)于公司企業(yè)從備份或用攻擊者提供的解密密鑰恢復(fù)數(shù)據(jù)的費(fèi)用。所以,支付贖金僅僅是增加成本而已。

5.聲譽(yù)損害成本

勒索軟件攻擊會(huì)侵蝕消費(fèi)者信任與信心,造成公司流失客戶和業(yè)務(wù)。去年,Arcserve針對(duì)美國、英國及其他國家的2000名消費(fèi)者進(jìn)行了調(diào)查,發(fā)現(xiàn)28%的受訪者表示,一旦經(jīng)歷過哪怕一次服務(wù)中斷或數(shù)據(jù)無法訪問,他們就會(huì)轉(zhuǎn)向別家了。超過九成(94%)的受訪者稱,會(huì)在購買前考慮公司的可信度;59%表示會(huì)避開過去一年中遭受過網(wǎng)絡(luò)攻擊的公司。

近期一個(gè)自稱“分布式拒絕秘密”(Distributed Denial of Secrets)的組織浮出水面,令公司企業(yè)更難低調(diào)處理數(shù)據(jù)泄露事件了。該組織以維基解密為樣板,宣稱收集了勒索軟件攻擊者泄露在網(wǎng)上的大量數(shù)據(jù),并將以信息透明的名義公開這些數(shù)據(jù)。已有多家公司的數(shù)據(jù)遭到該組織曝光,據(jù)稱數(shù)據(jù)都是從勒索軟件攻擊團(tuán)伙用來泄露被盜數(shù)據(jù)的網(wǎng)站和論壇上獲取的。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論