[[388874]]

調(diào)查表明，勒索贖金仍然只是組織遭遇網(wǎng)絡(luò)攻擊造成損失的一小部分，但相關(guān)成本卻在增加。

在2020年9月遭到勒索攻擊之后，美國聯(lián)合健康集團(tuán)(UHS)最終支付了6700萬美元的勒索相關(guān)費(fèi)用。但是，該組織只是遭遇勒索軟件攻擊造成重大經(jīng)濟(jì)損失的一個例子，在過去兩年中，勒索軟件對受害者造成的經(jīng)濟(jì)損失越來越嚴(yán)重。

一直關(guān)注這一趨勢的安全專家指出，有一些因素推動了勒索軟件攻擊成本的增加，尤其是對醫(yī)療保健行業(yè)的組織來說。其中最明顯的一點(diǎn)是，勒索軟件攻擊者向受害者索要的贖金有所增加。

美國網(wǎng)絡(luò)保險聯(lián)盟去年對投保者的理賠數(shù)據(jù)進(jìn)行的調(diào)查表明，贖金要求平均成本從2020年第一季度的230000美元增長到2020年第二季度的338,669美元，增長了47%。Coveware公司的一項研究發(fā)現(xiàn)，勒索軟件的實(shí)際支出也從2019年第四季度略高于84000美元快速增長到2020年第三季度的233817美元。

但是，勒索贖金本身只是總成本的一部分，對于拒絕接受勒索的組織來說，贖金往往根本不是成本上升的一個因素。即使對這些組織來說，在過去兩年的時間里，網(wǎng)絡(luò)攻擊造成的成本也在穩(wěn)步上升。安全專家表示，以下是勒索軟件攻擊導(dǎo)致成本上升​​的5個原因：

1.停機(jī)成本

停機(jī)成本已經(jīng)成為與勒索軟件攻擊相關(guān)的最主要成本之一。受害者在遭受勒索軟件攻擊之后，通?？赡苄枰獢?shù)天甚至數(shù)周才能恢復(fù)。在此期間，組織正常服務(wù)可能會中斷，從而導(dǎo)致業(yè)務(wù)損失、機(jī)會成本損失、客戶信譽(yù)損失、服務(wù)等級協(xié)議(SLA)損失、品牌信譽(yù)損失以及一系列其他問題。例如，美國聯(lián)合健康集團(tuán)(UHS)的大部分停機(jī)成本與損失收入有關(guān)，因?yàn)樵谕C(jī)期間無法像往常那樣為患者提供醫(yī)療護(hù)理服務(wù)，并且導(dǎo)致延遲支付賬單。

這樣的問題可能會變得更糟。在最近幾個月中，網(wǎng)絡(luò)攻擊者已經(jīng)開始以運(yùn)營網(wǎng)絡(luò)為目標(biāo)，以最大限度地延長受害者的停機(jī)時間，并增加受害者支付贖金的壓力。其中一個例子是今年早些時候?qū)Πb業(yè)巨頭WestRock公司的攻擊，這次網(wǎng)絡(luò)攻擊影響了該公司某些工廠和加工工廠的運(yùn)營。2020年對汽車制造商本田公司的類似襲擊暫時中斷了該公司海外的一些工廠的運(yùn)營。

Veritas公司去年對將近2700名IT專業(yè)人士進(jìn)行了調(diào)查，其中三分之二的受訪者估計，他們的組織至少需要5天的時間才能從勒索軟件攻擊中恢復(fù)過來。Coveware公司的另一份調(diào)查報告指出，全球2020年第四季度的平均停機(jī)時間顯著增加，平均為21天。

Datto公司首席信息安全官Ryan Weeks說，該公司去年所做的一項調(diào)查表明，2020年與勒索軟件攻擊相關(guān)的平均停機(jī)成本比一年前高出了驚人的93%。他說，“停機(jī)造成的成本損失往往比贖金本身要昂貴得多，停機(jī)成本的增長確實(shí)使勒索軟件的流行成為現(xiàn)實(shí)。”

該公司的調(diào)查數(shù)據(jù)表明，勒索軟件攻擊造成的平均停機(jī)時間可能造成高達(dá)27.42萬美元的損失，甚至遠(yuǎn)高于勒索軟件帶來的損失。Weeks說，這可能使組織很容易接受攻擊者的勒索要求。他說：“例如，佐治亞州亞特蘭大市在2018年遭受勒索軟件攻擊，使該市損失了至少1700萬美元。但是，索要的勒索贖金只有51,000美元。”

Weeks說，這些數(shù)字表明，組織需要制定周密的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計劃。在考慮業(yè)務(wù)連續(xù)性計劃時，組織需要考慮諸如恢復(fù)時間目標(biāo)(RTO)(必須恢復(fù)業(yè)務(wù)操作的最長持續(xù)時間)和恢復(fù)點(diǎn)目標(biāo)(RPO)之類的問題，他們需要回溯多長時間去檢索仍然可用的數(shù)據(jù)。他說：“恢復(fù)時間目標(biāo)(RTO)有助于確定組織在沒有數(shù)據(jù)訪問的情況下，在面臨風(fēng)險之前能夠承受的最長運(yùn)營時間。另外，通過指定恢復(fù)點(diǎn)目標(biāo)(RPO)，可以知道需要多長時間執(zhí)行一次數(shù)據(jù)備份。”

2.與雙重勒索有關(guān)的成本

在令人不安的發(fā)展過程中，勒索軟件運(yùn)營商開始從組織那里竊取大量敏感數(shù)據(jù)，然后再鎖定其系統(tǒng)，最后將所竊取的數(shù)據(jù)作為勒索贖金的手段。當(dāng)組織拒絕支付贖金時，勒索軟件攻擊者會通過為此目的構(gòu)建的暗網(wǎng)泄漏數(shù)據(jù)。

日本《日經(jīng)新聞》與Trend Micro公司合作進(jìn)行的一項研究發(fā)現(xiàn)，僅在2020年的前10個月，全球有1000多個組織就成為了這種雙重勒索攻擊的受害者。這種做法始于Maze勒索軟件家族運(yùn)營商，但很快被攻擊者組織效仿，其中包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor勒索軟件家族的運(yùn)營商。根據(jù)Coveware公司的調(diào)查，在去年第四季度發(fā)生的勒索軟件事件中，其中70%涉及數(shù)據(jù)泄露。

Acronis公司網(wǎng)絡(luò)保護(hù)研究副總裁Candid Wuest說：“許多勒索軟件組織通常在加密數(shù)據(jù)之前先竊取數(shù)據(jù)，這增加了數(shù)據(jù)泄漏的風(fēng)險。這意味著更可能需要所有相關(guān)成本，例如企業(yè)信譽(yù)損失、法律費(fèi)用、監(jiān)管罰款和數(shù)據(jù)泄露清理服務(wù)，即使在沒有重大停機(jī)時間的情況下恢復(fù)系統(tǒng)也是如此。”

這種趨勢顛覆了與勒索軟件攻擊相關(guān)的傳統(tǒng)方法?，F(xiàn)在，勒索軟件的受害者(甚至是那些擁有最佳數(shù)據(jù)備份和恢復(fù)流程的受害者)現(xiàn)在必須應(yīng)對其敏感數(shù)據(jù)公開泄漏或出售給競爭對手的挑戰(zhàn)。Digital Shadows公司高級網(wǎng)絡(luò)威脅情報分析師Xue Yin Peh表示，受到勒索軟件攻擊的受害者還將受到監(jiān)管機(jī)構(gòu)的經(jīng)濟(jì)處罰。根據(jù)諸如歐盟的GDPR、加利福尼亞州的CCPA和HIPAA之類的隱私法規(guī)，受害者泄露數(shù)據(jù)可能構(gòu)成違規(guī)行為。

Peh指出，受害者還可能以第三方索賠或集體訴訟的形式面臨法律問題。當(dāng)網(wǎng)絡(luò)攻擊者竊取和發(fā)布的數(shù)據(jù)涉及其他組織(例如第三方數(shù)據(jù)文件或客戶端數(shù)據(jù))時，發(fā)生此類問題的可能性就會增加。如果泄露了消費(fèi)者數(shù)據(jù)，那么組織可能會面臨違規(guī)而受到處罰的成本，以及由于勒索軟件攻擊而導(dǎo)致的保險費(fèi)用也可能會增加。

3. IT升級成本

在勒索軟件攻擊之后，受害者有時會低估所涉及的成本，不僅是對事件的響應(yīng)，而且是保護(hù)網(wǎng)絡(luò)免受進(jìn)一步攻擊的代價。在組織可能認(rèn)為最佳選擇是向勒索者支付贖金的情況下尤其如此。

SentinelOne公司SentinelLabs負(fù)責(zé)人Migo Kedem說：“在支付贖金之后，受害者無法保證攻擊者不再進(jìn)行攻擊和勒索。他們無法保證勒索軟件攻擊者沒有在其系統(tǒng)上植入更多惡意軟件，也無法保證勒索者沒有對外出售或轉(zhuǎn)移其非法訪問權(quán)給另一個勒索組織。并且無法保證攻擊者在獲得贖金之后不會刪除被盜數(shù)據(jù)，或放棄對受害網(wǎng)絡(luò)的訪問。”

為了減輕進(jìn)一步的勒索攻擊，組織通常必須升級其基礎(chǔ)設(shè)施并實(shí)施更好的控制。Kedem說：“受害者沒有考慮到的隱性成本是事件響應(yīng)和IT升級成本，這些是保護(hù)該網(wǎng)絡(luò)免受進(jìn)一步攻擊所必需的成本。”

4.支付贖金增加的成本

許多組織選擇支付贖金，認(rèn)為這比從頭恢復(fù)數(shù)據(jù)便宜。安全專家指出，這是一個嚴(yán)重的錯誤。Sophos公司去年進(jìn)行的一項調(diào)查表明，超過四分之一(26%)的勒索軟件受害者向勒索者支付了贖金以取回數(shù)據(jù)。另外，還有1%的受害者雖然支付了贖金，卻沒有贖回數(shù)據(jù)。

Sophos公司發(fā)現(xiàn)，那些支付贖金的組織最終支付的總成本是未支付贖金組織的兩倍。對于確實(shí)支付贖金的組織來說，勒索軟件攻擊的平均成本(包括停機(jī)、設(shè)備和網(wǎng)絡(luò)維修與恢復(fù)成本、人員時間、機(jī)會成本和贖金)約為140萬美元，而未付贖金組織的平均成本約為73.3萬美元。

Sophos公司的調(diào)查發(fā)現(xiàn)，在支付贖金之后，受害者仍然需要完成大量工作來恢復(fù)數(shù)據(jù)。據(jù)該公司稱，無論組織是從備份中恢復(fù)數(shù)據(jù)還是使用網(wǎng)絡(luò)攻擊者提供的解密密鑰，與數(shù)據(jù)恢復(fù)和恢復(fù)正常相關(guān)的成本大致相同。因此，支付贖金只會增加這些成本。

5.組織聲譽(yù)損失的成本

勒索軟件攻擊將會影響消費(fèi)者的信任和打擊信心，并導(dǎo)致組織失去客戶和業(yè)務(wù)。去年，Arcserve公司對來自美國、英國和其他國家/地區(qū)的近2,000名消費(fèi)者進(jìn)行的一項調(diào)查顯示，28%的消費(fèi)者表示，即使他們經(jīng)歷了一次服務(wù)中斷或無法訪問其數(shù)據(jù)的情況，他們也會把業(yè)務(wù)轉(zhuǎn)移到其他組織。93%的受訪者表示，他們在購買產(chǎn)品或服務(wù)之前會考慮組織的可信度，59%的受訪者表示，他們會避免與過去12個月遭遇網(wǎng)絡(luò)攻擊的組織開展業(yè)務(wù)。

最近出現(xiàn)了一個名為“分布式拒絕機(jī)密”的組織，這可能很快會讓受害的組織難以隱瞞數(shù)據(jù)泄露事件。該組織以維基解密的模式，對外聲稱收集了勒索軟件攻擊者在網(wǎng)上泄露的大量數(shù)據(jù)，并表示將以公開透明的名義發(fā)布這些數(shù)據(jù)。該組織已經(jīng)公布了多家公司的數(shù)據(jù)，并聲稱這些數(shù)據(jù)來自勒索軟件運(yùn)營商用來泄露被盜數(shù)據(jù)的網(wǎng)站和論壇。