信息化觀察網

導語

贖金在勒索軟件攻擊造成的總損失中仍只占小頭，而相關損失卻在增加。

United Health Services（UHS）去年承受勒索軟件攻擊所導致的最終損失高達6700萬美元！2020年9月的一起攻擊導致其網絡癱瘓。盡管能達到如此高額損失的組織為數并不多，但是，它卻是一個典型案例，表明勒索軟件攻擊在過去兩年已開始給受害者造成越來越嚴重的經濟損失。

一直跟蹤分析勒索軟件攻擊趨勢的安全專家指出，幾個因素導致與勒索軟件攻擊有關的損失不斷上升，對于醫(yī)療保健行業(yè)的組織而言更是如此。其中一個最明顯的因素就是，攻擊者向受害者索要的平均贖金數額在上漲。

網絡保險公司Coalition去年分析了投保人的索賠數據，結果發(fā)現攻擊者索要的平均贖金從2020年第一季度的230000美元，猛增至2020年第二季度的338669美元，增幅高達47%。一些攻擊者向受害者索要的平均贖金為420000美元，比如Maze勒索軟件背后的團伙。Coveware的研究發(fā)現，實際支付的勒索軟件贖金也直線上升，從2019年第四季度的84000美元，飆升至2020年第三季度的逾233817美元。

然而，贖金本身只是總損失的一小部分，拒不支付贖金對組織而言常常不是首選項。對受到攻擊的組織來說，攻擊損失在過去兩年左右的時間中穩(wěn)步增加。據安全專家們聲稱，以下這五個最常見的原因可以解釋為什么會出現這種情況。

宕機損失

宕機就算不是勒索軟件攻擊造成的最大損失，至少也是最大損失之一。遭到勒索軟件攻擊之后，受害者常常要花數天、有時乃至數周的時間來恢復系統(tǒng)。而在此期間，平常的服務可能受到嚴重干擾，導致業(yè)務流失、失去機會造成的損失、客戶好感度下降、服務級別協(xié)議（SLA）無法履行、品牌受損以及其他一大堆問題。比如說，由于無法正常提供患者護理服務，加上計費延遲，UHS的損失大部分與收入減少有關。

這類問題甚至可能更嚴重。近幾個月來，不法分子已開始攻擊運營技術網絡，企圖盡量延長受害者的宕機時間，并加大壓力以迫使對方支付贖金。今年早些時候包裝巨頭WestRock Company遭遇攻擊就是一個例子，該公司旗下的多家制造廠和加工廠的運營因而受到了影響。本田公司在2020年遭到了一起類似的攻擊，這家汽車制造商在日本境外的幾家工廠出現了運營暫時中斷。

維爾公司去年委托第三方對近2700名IT專業(yè)人士開展了一項調查，三分之二的受訪者估計，遭到勒索軟件攻擊后，所在組織至少要花五天的時間才能恢復正常。Coveware的另一份報告估計平均宕機時間要長得多，估計2020年第四季度平均宕機21天。

Datto的首席信息安全官Ryan Weeks表示，該公司去年開展的調查顯示，2020年與勒索軟件攻擊有關的宕機造成的平均損失比前一年整整高出了93%。他說：“宕機造成的損失常常比贖金本身高得多。宕機損失迅速上漲，我們不得不認真看待猖獗的勒索軟件攻擊。”

該公司的數據顯示，勒索軟件攻擊引起的宕機造成的損失平均超過274200美元，比索要的平均贖金高得多。Weeks表示，這就導致許多組織忍不住干脆按攻擊者的要求支付贖金。他說：“比如在2018年，佐治亞州亞特蘭大市遭遇勒索軟件攻擊，該市花費了逾1700萬美元才恢復過來。然而，贖金本身只有區(qū)區(qū)51000美元。”

Weeks表示，這些數據表明，組織需要有一項考慮周全的網絡彈性策略和業(yè)務連續(xù)性計劃。組織在考慮業(yè)務連續(xù)性計劃時，需要考慮幾個問題，比如恢復時間目標（RTO），即業(yè)務運營最長在多少時間內必須恢復正常，比如恢復點目標（RPO），即需要回溯到多久之前以取回仍然可用的數據。他說：“計算RTO有助于確定公司在無法訪問數據的情況下最多能運營多長時間。另外，確定RPO后，你可以確定需要對數據進行備份的頻次。”

與雙重勒索有關的損失

一個特別令人不安的動向是，勒索軟件團伙已在鎖住受害者組織的系統(tǒng)前，開始竊取大量的敏感數據，然后將這些竊取而來的數據作為另外的籌碼以勒索贖金。如果受害者拒不支付，攻擊者就通過專門設立的暗網來泄露數據。

日本《日經新聞》與趨勢科技聯(lián)合開展的一項調查發(fā)現，僅2020年頭10個月，全球超過1000家組織淪為了這種雙重勒索攻擊的受害者。據稱，這種攻擊手法的始作俑者是Maze勒索軟件背后的黑客，但隨后眾多團伙紛紛仿而效之，包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索軟件團伙。上個季度Coveware響應的勒索軟件事件中70%涉及數據竊取。

Acronis的網絡防護研究副總裁Candid Wuest說：“事實上，如今許多勒索軟件團伙先竊取數據后加密數據，加大了數據泄露的風險。這意味著即便沒有任何嚴重的宕機就能恢復系統(tǒng)，公司也更有可能需要承擔所有的相關損失，比如品牌受損、法務費用、監(jiān)管部門罰款和數據泄露清理服務費。”

這個趨勢已顛覆了與勒索軟件攻擊有關的傳統(tǒng)估算方法。即使有再好的數據備份和恢復流程，如今勒索軟件受害者也必須面對這種可能性：敏感數據被公開披露，或者被賣給競爭對手。Digital Shadows的高級網絡威脅情報分析師Xue Yin Peh認為，勒索軟件攻擊的受害者可能不得不承受監(jiān)管機構實施的經濟懲罰。按照歐盟《通用數據保護條例》（GDPR）、美國《加州消費者隱私法》（CCPA）和《健康保險可攜性及責任性法案》（HIPAA）等監(jiān)管法規(guī)，發(fā)布和泄露從受害者竊取的數據構成數據泄露事件。

Peh特別指出：“受害者還可能面臨第三方索賠或集體訴訟帶來的法律后果。”如果攻擊者竊取和發(fā)布的數據涉及其他組織，比如第三方數據文件或客戶數據，面臨這類麻煩的可能性隨之加大。“如果消費者數據被泄露，相應公司就要準備承受泄露數據的成本。網絡保險費也可能因勒索軟件攻擊而上漲。”

IT升級成本

勒索軟件攻擊結束后，組織有時不僅會低估響應攻擊事件的成本，還會低估保護網絡免受后續(xù)攻擊的成本。如果組織以為最佳選擇就是向攻擊者乖乖支付贖金，更是如此。

SentinelOne的SentinelLabs主管Migo Kedem說：“即使支付了贖金，確保被感染機器已解除威脅，受害者也無法保證攻擊者不會再闖入其企業(yè)。”受害者無法確保攻擊者沒有在其系統(tǒng)上植入更多的惡意軟件，也無法確保攻擊者沒有將非法訪問權出售或轉讓給另一個犯罪團伙。誰也無法保證：一旦拿到了贖金，攻擊者就會清理機器上的惡意軟件、刪除盜取的數據或交出受害者網絡的訪問權。

為了緩解進一步的攻擊，組織常常必須升級基礎設施，并實施更有效的控制措施。Kedem說：“受害者沒有考慮到一些隱性成本，即保護網絡免遭進一步攻擊所必需的事件響應和IT升級成本。”

支付贖金引起的損失上升

許多公司支付贖金，以為這比從頭開始恢復數據來得省錢。不過安全專家表示，這是一大錯誤。Sophos去年開展的調查顯示，四分之一以上（26%）的勒索軟件受害者向攻擊者支付贖金后拿回了數據。另有1%同樣支付了贖金，卻終究未能拿回數據。

Sophos發(fā)現，相比未支付贖金的受害者，支付贖金的受害者最終支付了高出一倍的攻擊相關損失。對確實支付贖金的企業(yè)而言，勒索軟件攻擊造成的平均損失約140萬美元，包括宕機、設備及網絡修復和恢復成本、工時、機會成本和支付的贖金，而未支付贖金的企業(yè)其平均損失約73.3萬美元。

Sophos發(fā)現，原因在于，受害者仍需要做大量的工作來恢復數據。據該公司聲稱，無論組織從備份恢復數據，還是用攻擊者提供的解密密鑰恢復數據，與恢復數據、回歸常態(tài)有關的成本大致一樣。所以，支付贖金等于額外又增添了這些成本。

聲譽受損造成的損失

勒索軟件攻擊會降低消費者的信任和信心，導致組織流失客戶和生意。去年Arcserve針對美國、英國及其他國家的近2000名消費者進行了調查，結果發(fā)現28%的受訪者表示，如果遇到過哪怕一次的服務中斷或數據無法訪問，自己就會轉向另外的品牌。九成以上（94%）的受訪者表示，他們在購買產品或服務前會考慮組織的信譽度；59%表示，他們會避免與過去一年遇到過網絡攻擊的公司打交道。

近期出現了一個自稱是“分布式拒絕秘密”（Distributed Denial of Secrets）的舉報組織，許多組織可能很快更難低調處理數據泄露事件了。該組織仿照維基解密網站（WikiLeaks），聲稱已收集了勒索軟件攻擊者在網上泄露的大量數據，聲稱它會以信息透明的名義公布這些數據。這家組織已發(fā)布了屬于多家公司的數據，它聲稱是從泄露所竊取數據的勒索軟件團伙使用的網站和論壇獲得這些數據的。

作者：本文作者Jaikumar Vijayan是一位專注于計算機安全和隱私話題的技術自由撰稿人。

原文網址：https://www.csoonline.com/article/

3276584/what-does-a-ransomware-attack-cost-beware-the-hidden-expenses.html

編譯：沈建苗

微信排版：?？伸?/p>

排版審核：劉沙