United Health Services(UHS)去年承受勒索軟件攻擊所導(dǎo)致的最終損失高達(dá)6700萬(wàn)美元!2020年9月的一起攻擊導(dǎo)致其網(wǎng)絡(luò)癱瘓。盡管能達(dá)到如此高額損失的組織為數(shù)并不多，但是，它卻是一個(gè)典型案例，表明勒索軟件攻擊在過(guò)去兩年已開(kāi)始給受害者造成越來(lái)越嚴(yán)重的經(jīng)濟(jì)損失。

[[409555]]

一直跟蹤分析勒索軟件攻擊趨勢(shì)的安全專家指出，幾個(gè)因素導(dǎo)致與勒索軟件攻擊有關(guān)的損失不斷上升，對(duì)于醫(yī)療保健行業(yè)的組織而言更是如此。其中一個(gè)最明顯的因素就是，攻擊者向受害者索要的平均贖金數(shù)額在上漲。

網(wǎng)絡(luò)保險(xiǎn)公司Coalition去年分析了投保人的索賠數(shù)據(jù)，結(jié)果發(fā)現(xiàn)攻擊者索要的平均贖金從2020年第一季度的230000美元，猛增至2020年第二季度的338669美元，增幅高達(dá)47%。一些攻擊者向受害者索要的平均贖金為420000美元，比如Maze勒索軟件背后的團(tuán)伙。Coveware的研究發(fā)現(xiàn)，實(shí)際支付的勒索軟件贖金也直線上升，從2019年第四季度的84000美元，飆升至2020年第三季度的逾233817美元。

然而，贖金本身只是總損失的一小部分，拒不支付贖金對(duì)組織而言常常不是首選項(xiàng)。對(duì)受到攻擊的組織來(lái)說(shuō)，攻擊損失在過(guò)去兩年左右的時(shí)間中穩(wěn)步增加。據(jù)安全專家們聲稱，以下這五個(gè)最常見(jiàn)的原因可以解釋為什么會(huì)出現(xiàn)這種情況。

宕機(jī)損失

宕機(jī)就算不是勒索軟件攻擊造成的最大損失，至少也是最大損失之一。遭到勒索軟件攻擊之后，受害者常常要花數(shù)天、有時(shí)乃至數(shù)周的時(shí)間來(lái)恢復(fù)系統(tǒng)。而在此期間，平常的服務(wù)可能受到嚴(yán)重干擾，導(dǎo)致業(yè)務(wù)流失、失去機(jī)會(huì)造成的損失、客戶好感度下降、服務(wù)級(jí)別協(xié)議(SLA)無(wú)法履行、品牌受損以及其他一大堆問(wèn)題。比如說(shuō)，由于無(wú)法正常提供患者護(hù)理服務(wù)，加上計(jì)費(fèi)延遲，UHS的損失大部分與收入減少有關(guān)。

這類問(wèn)題甚至可能更嚴(yán)重。近幾個(gè)月來(lái)，不法分子已開(kāi)始攻擊運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)，企圖盡量延長(zhǎng)受害者的宕機(jī)時(shí)間，并加大壓力以迫使對(duì)方支付贖金。今年早些時(shí)候包裝巨頭WestRock Company遭遇攻擊就是一個(gè)例子，該公司旗下的多家制造廠和加工廠的運(yùn)營(yíng)因而受到了影響。本田公司在2020年遭到了一起類似的攻擊，這家汽車制造商在日本境外的幾家工廠出現(xiàn)了運(yùn)營(yíng)暫時(shí)中斷。

維爾公司去年委托第三方對(duì)近2700名IT專業(yè)人士開(kāi)展了一項(xiàng)調(diào)查，三分之二的受訪者估計(jì)，遭到勒索軟件攻擊后，所在組織至少要花五天的時(shí)間才能恢復(fù)正常。Coveware的另一份報(bào)告估計(jì)平均宕機(jī)時(shí)間要長(zhǎng)得多，估計(jì)2020年第四季度平均宕機(jī)21天。

Datto的首席信息安全官Ryan Weeks表示，該公司去年開(kāi)展的調(diào)查顯示，2020年與勒索軟件攻擊有關(guān)的宕機(jī)造成的平均損失比前一年整整高出了93%。他說(shuō)：“宕機(jī)造成的損失常常比贖金本身高得多。宕機(jī)損失迅速上漲，我們不得不認(rèn)真看待猖獗的勒索軟件攻擊。”

該公司的數(shù)據(jù)顯示，勒索軟件攻擊引起的宕機(jī)造成的損失平均超過(guò)274200美元，比索要的平均贖金高得多。Weeks表示，這就導(dǎo)致許多組織忍不住干脆按攻擊者的要求支付贖金。他說(shuō)：“比如在2018年，佐治亞州亞特蘭大市遭遇勒索軟件攻擊，該市花費(fèi)了逾1700萬(wàn)美元才恢復(fù)過(guò)來(lái)。然而，贖金本身只有區(qū)區(qū)51000美元。”

Weeks表示，這些數(shù)據(jù)表明，組織需要有一項(xiàng)考慮周全的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計(jì)劃。組織在考慮業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，需要考慮幾個(gè)問(wèn)題，比如恢復(fù)時(shí)間目標(biāo)(RTO)，即業(yè)務(wù)運(yùn)營(yíng)最長(zhǎng)在多少時(shí)間內(nèi)必須恢復(fù)正常，比如恢復(fù)點(diǎn)目標(biāo)(RPO)，即需要回溯到多久之前以取回仍然可用的數(shù)據(jù)。他說(shuō)：“計(jì)算RTO有助于確定公司在無(wú)法訪問(wèn)數(shù)據(jù)的情況下最多能運(yùn)營(yíng)多長(zhǎng)時(shí)間。另外，確定RPO后，你可以確定需要對(duì)數(shù)據(jù)進(jìn)行備份的頻次。”

與雙重勒索有關(guān)的損失

一個(gè)特別令人不安的動(dòng)向是，勒索軟件團(tuán)伙已在鎖住受害者組織的系統(tǒng)前，開(kāi)始竊取大量的敏感數(shù)據(jù)，然后將這些竊取而來(lái)的數(shù)據(jù)作為另外的籌碼以勒索贖金。如果受害者拒不支付，攻擊者就通過(guò)專門設(shè)立的暗網(wǎng)來(lái)泄露數(shù)據(jù)。

日本《日經(jīng)新聞》與趨勢(shì)科技聯(lián)合開(kāi)展的一項(xiàng)調(diào)查發(fā)現(xiàn)，僅2020年頭10個(gè)月，全球超過(guò)1000家組織淪為了這種雙重勒索攻擊的受害者。據(jù)稱，這種攻擊手法的始作俑者是Maze勒索軟件背后的黑客，但隨后眾多團(tuán)伙紛紛仿而效之，包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索軟件團(tuán)伙。上個(gè)季度Coveware響應(yīng)的勒索軟件事件中70%涉及數(shù)據(jù)竊取。

Acronis的網(wǎng)絡(luò)防護(hù)研究副總裁Candid Wuest說(shuō)：“事實(shí)上，如今許多勒索軟件團(tuán)伙先竊取數(shù)據(jù)后加密數(shù)據(jù)，加大了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。這意味著即便沒(méi)有任何嚴(yán)重的宕機(jī)就能恢復(fù)系統(tǒng)，公司也更有可能需要承擔(dān)所有的相關(guān)損失，比如品牌受損、法務(wù)費(fèi)用、監(jiān)管部門罰款和數(shù)據(jù)泄露清理服務(wù)費(fèi)。”

這個(gè)趨勢(shì)已顛覆了與勒索軟件攻擊有關(guān)的傳統(tǒng)估算方法。即使有再好的數(shù)據(jù)備份和恢復(fù)流程，如今勒索軟件受害者也必須面對(duì)這種可能性：敏感數(shù)據(jù)被公開(kāi)披露，或者被賣給競(jìng)爭(zhēng)對(duì)手。Digital Shadows的高級(jí)網(wǎng)絡(luò)威脅情報(bào)分析師Xue Yin Peh認(rèn)為，勒索軟件攻擊的受害者可能不得不承受監(jiān)管機(jī)構(gòu)實(shí)施的經(jīng)濟(jì)懲罰。按照歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)、美國(guó)《加州消費(fèi)者隱私法》(CCPA)和《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)等監(jiān)管法規(guī)，發(fā)布和泄露從受害者竊取的數(shù)據(jù)構(gòu)成數(shù)據(jù)泄露事件。

Peh特別指出：“受害者還可能面臨第三方索賠或集體訴訟帶來(lái)的法律后果。”如果攻擊者竊取和發(fā)布的數(shù)據(jù)涉及其他組織，比如第三方數(shù)據(jù)文件或客戶數(shù)據(jù)，面臨這類麻煩的可能性隨之加大。“如果消費(fèi)者數(shù)據(jù)被泄露，相應(yīng)公司就要準(zhǔn)備承受泄露數(shù)據(jù)的成本。網(wǎng)絡(luò)保險(xiǎn)費(fèi)也可能因勒索軟件攻擊而上漲。”

IT升級(jí)成本

勒索軟件攻擊結(jié)束后，組織有時(shí)不僅會(huì)低估響應(yīng)攻擊事件的成本，還會(huì)低估保護(hù)網(wǎng)絡(luò)免受后續(xù)攻擊的成本。如果組織以為最佳選擇就是向攻擊者乖乖支付贖金，更是如此。

SentinelOne的SentinelLabs主管Migo Kedem說(shuō)：“即使支付了贖金，確保被感染機(jī)器已解除威脅，受害者也無(wú)法保證攻擊者不會(huì)再闖入其企業(yè)。”受害者無(wú)法確保攻擊者沒(méi)有在其系統(tǒng)上植入更多的惡意軟件，也無(wú)法確保攻擊者沒(méi)有將非法訪問(wèn)權(quán)出售或轉(zhuǎn)讓給另一個(gè)犯罪團(tuán)伙。誰(shuí)也無(wú)法保證：一旦拿到了贖金，攻擊者就會(huì)清理機(jī)器上的惡意軟件、刪除盜取的數(shù)據(jù)或交出受害者網(wǎng)絡(luò)的訪問(wèn)權(quán)。

為了緩解進(jìn)一步的攻擊，組織常常必須升級(jí)基礎(chǔ)設(shè)施，并實(shí)施更有效的控制措施。Kedem說(shuō)：“受害者沒(méi)有考慮到一些隱性成本，即保護(hù)網(wǎng)絡(luò)免遭進(jìn)一步攻擊所必需的事件響應(yīng)和IT升級(jí)成本。”

支付贖金引起的損失上升

許多公司支付贖金，以為這比從頭開(kāi)始恢復(fù)數(shù)據(jù)來(lái)得省錢。不過(guò)安全專家表示，這是一大錯(cuò)誤。Sophos去年開(kāi)展的調(diào)查顯示，四分之一以上(26%)的勒索軟件受害者向攻擊者支付贖金后拿回了數(shù)據(jù)。另有1%同樣支付了贖金，卻終究未能拿回?cái)?shù)據(jù)。

Sophos發(fā)現(xiàn)，相比未支付贖金的受害者，支付贖金的受害者最終支付了高出一倍的攻擊相關(guān)損失。對(duì)確實(shí)支付贖金的企業(yè)而言，勒索軟件攻擊造成的平均損失約140萬(wàn)美元，包括宕機(jī)、設(shè)備及網(wǎng)絡(luò)修復(fù)和恢復(fù)成本、工時(shí)、機(jī)會(huì)成本和支付的贖金，而未支付贖金的企業(yè)其平均損失約73.3萬(wàn)美元。

Sophos發(fā)現(xiàn)，原因在于，受害者仍需要做大量的工作來(lái)恢復(fù)數(shù)據(jù)。據(jù)該公司聲稱，無(wú)論組織從備份恢復(fù)數(shù)據(jù)，還是用攻擊者提供的解密密鑰恢復(fù)數(shù)據(jù)，與恢復(fù)數(shù)據(jù)、回歸常態(tài)有關(guān)的成本大致一樣。所以，支付贖金等于額外又增添了這些成本。

聲譽(yù)受損造成的損失

勒索軟件攻擊會(huì)降低消費(fèi)者的信任和信心，導(dǎo)致組織流失客戶和生意。去年Arcserve針對(duì)美國(guó)、英國(guó)及其他國(guó)家的近2000名消費(fèi)者進(jìn)行了調(diào)查，結(jié)果發(fā)現(xiàn)28%的受訪者表示，如果遇到過(guò)哪怕一次的服務(wù)中斷或數(shù)據(jù)無(wú)法訪問(wèn)，自己就會(huì)轉(zhuǎn)向另外的品牌。九成以上(94%)的受訪者表示，他們?cè)谫?gòu)買產(chǎn)品或服務(wù)前會(huì)考慮組織的信譽(yù)度;59%表示，他們會(huì)避免與過(guò)去一年遇到過(guò)網(wǎng)絡(luò)攻擊的公司打交道。

近期出現(xiàn)了一個(gè)自稱是“分布式拒絕秘密”(Distributed Denial of Secrets)的舉報(bào)組織，許多組織可能很快更難低調(diào)處理數(shù)據(jù)泄露事件了。該組織仿照維基解密網(wǎng)站(WikiLeaks)，聲稱已收集了勒索軟件攻擊者在網(wǎng)上泄露的大量數(shù)據(jù)，聲稱它會(huì)以信息透明的名義公布這些數(shù)據(jù)。這家組織已發(fā)布了屬于多家公司的數(shù)據(jù)，它聲稱是從泄露所竊取數(shù)據(jù)的勒索軟件團(tuán)伙使用的網(wǎng)站和論壇獲得這些數(shù)據(jù)的。