勒索軟件攻擊導致的全部成本中,贖金依然只占據一小部分,但相關成本卻在持續增長。
沒多少企業和機構像美國環球健康服務(UHS)那么悲劇:2020年9月被勒索軟件攻擊搞癱網絡,此后相關成本累積到6700萬美元之巨。然而,UHS不過是勒索軟件攻擊導致沉重經濟損失不斷累加的個案,過去兩年來,此類攻擊引發受害者持續失血的案例不知凡幾。
跟蹤勒索軟件攻擊趨勢的安全專家認為,有多個因素在推升勒索軟件攻擊的相關成本,尤其是對醫療保健行業的企業和機構而言。其中最明顯的是攻擊者索要贖金平均數額的上漲。
網絡保險公司Coalition去年分析了保單持有人的索賠數據,發現平均贖金2020年第一季度剛過23萬美元,但2020年第二季度就躍升到近33.9萬美元了。有些攻擊者,比如Maze系勒索軟件背后的黑客,平均向受害者索要42萬美元的贖金。Coveware的研究揭示,實際勒索軟件支出也直線上升,從2019年第四季度的稍稍超過8.4萬美元,飆升至2020年第三季度的近23.4萬美元。
但是,贖金本身只是總成本的一部分,而且對拒絕接受勒索的企業和機構而言往往根本無需考慮。不過,即使拒絕支付贖金,攻擊所致成本在過去兩年間還是不斷增加了。安全專家表示,勒索軟件攻擊相關成本不斷上升很大程度上是由于下列五個常見原因。
1. 宕機成本
勒索軟件攻擊相關成本中,宕機導致的成本即使不算最大,也是比重較大的幾項之一了。遭受勒索軟件攻擊之后,受害者往往需要花費數天乃至數周的時間恢復系統。期間正常服務可能遭到嚴重干擾,導致業務損失、機會喪失、客戶好感度下滑、SLA被打破、品牌聲譽跌落等等。例如,UHS的巨額損失就是源自無法像平常一樣提供病患護理服務,以及開單延遲。
此類問題甚至還會更加嚴重。最近幾個月,惡意黑客開始對運營技術網絡下手,意圖延長受害者的宕機時間,增加他們支付贖金的壓力。今年早些時候包裝巨頭WestRock Company遭遇的攻擊就是一例,該公司多處制造廠和加工廠的運營受到影響。本田公司在2020年也遭遇了類似的攻擊,幾間海外工廠暫時中斷運營。
Veritas去年委托執行的一項調查面向近2700名IT專業人士,三分之二的受訪者估計自家公司至少要花費五天時間才能從勒索軟件攻擊中恢復。Coveware另一份報告中的平均宕機時間甚至更長,2020年第四季度的平均宕機時間高達21天之久。
Datto首席信息安全官Ryan Weeks稱,公司去年的調查顯示,2020年勒索軟件攻擊相關宕機造成的平均成本比此前一年高出了93%,實在令人驚異。他表示:“宕機往往比贖金本身更傷錢。宕機成本的飆升速度讓我們不得不慎重對待勒索軟件攻擊潮。”
該公司的數據顯示,源自勒索軟件攻擊的宕機平均能產生高達27.42萬美元的成本,相比平均贖金確實要高得多。這就導致公司企業很容易屈服于攻擊者,乖乖支付贖金以求盡快恢復正常。例如,2018年,美國佐治亞州亞特蘭大市遭遇勒索軟件攻擊,該市拒絕支付贖金,系統恢復費用高達1700萬美元。然而,贖金本身僅價值5.1萬美元。
此類數據表明,企業和機構需要設置考慮周全的網絡彈性策略和業務連續性計劃。考慮業務連續性計劃的時候,企業和機構需關注恢復時間目標(RTO),也就是業務運營最長在多少時間內必須恢復;以及恢復點目標(RPO),也就是需回溯到多久之前的可用數據。計算RTO有助于確定公司在無法訪問數據的情況下能撐多長時間而不陷入危機。指定RPO則可以弄清楚公司執行數據備份的頻率。
2. 雙重勒索相關的成本
勒索軟件攻擊的趨勢令人備感憂慮,攻擊者開始在鎖定系統前盜取大量敏感數據,然后將這些被盜數據作為額外的籌碼再行勒索。只要受害者拒絕支付贖金,攻擊者就會通過暗網泄露數據。
日本日經與趨勢科技聯合進行的調查研究發現,僅2020年1月到10月,全球超過1000家企業和機構淪為了此類雙重勒索攻擊的受害者。據稱,此類攻擊始于Maze勒索軟件家族背后的黑客,然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索軟件攻擊團伙迅速跟進。上個季度,Coveware響應的勒索軟件事件中70%都涉及數據盜竊。
Acronis網絡防護研究副總裁Candid Wuest稱:“事實上,許多勒索軟件攻擊團伙目前在加密之前盜取數據。這就增加了數據泄露的風險,意味著即便系統宕機時間不長就恢復如初,公司可能也需要承擔品牌形象損害、法務費用、監管罰款和數據泄露清理服務等所有相關成本。”
這一趨勢顛覆了對勒索軟件攻擊所致損失的一貫認知。無論數據備份和恢復流程多么完美,勒索軟件受害者如今必須直面敏感數據被公開披露或賣給競爭對手的真實可能性。因此,Digital Shadows高級網絡威脅情報分析師Xue Yin Peh認為,勒索軟件攻擊的受害者將不得不承受監管機構經濟處罰的沖擊。根據歐盟《通用數據保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA)和《 健康保險流通與責任法案》(HIPAA)等監管規定,被盜數據的披露和暴露可能構成數據泄露。
Peh指出:“受害者還可能要面對第三方索賠或集體訴訟等形式的法律后果。”如果被攻擊者盜取并披露的數據涉及其他企業和機構,比如第三方數據文件或客戶數據,那遭遇此類麻煩的概率還會增加。只要消費者數據被曝,公司就可以預期圍繞數據泄露通知的各項成本了。網絡保險費用也可能因為勒索軟件攻擊而上漲。
3. IT升級成本
勒索軟件攻擊結束后,企業和機構有時候會低估事件響應和防止后續攻擊的成本。如果受害者認為最佳選項是支付贖金,那么這種情況還會更加嚴重。
SentinelOne的SentinelLabs主管Migo Kedem表示:“在支付贖金拿回被感染機器的情形下,受害者并不能保證攻擊者不再染指他們的企業。”誰都無法確定攻擊者有沒有在系統中植入更多惡意軟件,也無法保證他們沒有將非法訪問權售賣或轉移給其他網絡犯罪團伙。攻擊者一旦收到贖金就會清理惡意軟件、刪除被盜數據、放棄受害網絡訪問權這種事,誰敢信?
為緩解進一步攻擊,公司企業常常必須升級自身基礎設施,實現更好的控制措施。Kedem稱:“受害者沒考慮到的隱藏成本包括保護網絡免遭進一步攻擊的事件響應和IT升級成本。”
4. 贖金支付成本上升
很多公司支付贖金是覺得贖金比從頭開始恢復數據的開銷便宜。但安全專家表示,這種認知大錯特錯。Sophos去年進行的調查顯示,超過四分之一(26%)的勒索軟件受害者通過支付贖金找回了數據。但有1%既付出了贖金,也沒拿回數據。
Sophos發現,相比不向攻擊者低頭,那些確實支付了贖金的受害者最終付出了雙份的代價。包括宕機、設備與網絡修復開支、工時費、機會成本和贖金在內,確實支付了贖金的公司企業平均產生約1400萬美元的勒索軟件攻擊平均成本,而不支付贖金的受害企業其平均成本為73.3萬美元。
個中原因就在于,受害者仍然需要做許多工作來恢復數據。Sophos表示,與恢復數據和重返正軌相關的成本,基本上相當于公司企業從備份或用攻擊者提供的解密密鑰恢復數據的費用。所以,支付贖金僅僅是增加成本而已。
5. 聲譽損害成本
勒索軟件攻擊會侵蝕消費者信任與信心,造成公司流失客戶和業務。去年,Arcserve針對美國、英國及其他國家的2000名消費者進行了調查,發現28%的受訪者表示,一旦經歷過哪怕一次服務中斷或數據無法訪問,他們就會轉向別家了。超過九成(94%)的受訪者稱,會在購買前考慮公司的可信度;59%表示會避開過去一年中遭受過網絡攻擊的公司。
近期一個自稱“分布式拒絕秘密”(Distributed Denial of Secrets)的組織浮出水面,令公司企業更難低調處理數據泄露事件了。該組織以維基解密為樣板,宣稱收集了勒索軟件攻擊者泄露在網上的大量數據,并將以信息透明的名義公開這些數據。已有多家公司的數據遭到該組織曝光,據稱數據都是從勒索軟件攻擊團伙用來泄露被盜數據的網站和論壇上獲取的。
來源:數世咨詢