勒索軟件攻擊導(dǎo)致的全部成本中，贖金依然只占據(jù)一小部分，但相關(guān)成本卻在持續(xù)增長。

沒多少企業(yè)和機構(gòu)像美國環(huán)球健康服務(wù)(UHS)那么悲劇：2020年9月被勒索軟件攻擊搞癱網(wǎng)絡(luò)，此后相關(guān)成本累積到6700萬美元之巨。然而，UHS不過是勒索軟件攻擊導(dǎo)致沉重經(jīng)濟損失不斷累加的個案，過去兩年來，此類攻擊引發(fā)受害者持續(xù)失血的案例不知凡幾。

[[390473]]

跟蹤勒索軟件攻擊趨勢的安全專家認為，有多個因素在推升勒索軟件攻擊的相關(guān)成本，尤其是對醫(yī)療保健行業(yè)的企業(yè)和機構(gòu)而言。其中最明顯的是攻擊者索要贖金平均數(shù)額的上漲。

網(wǎng)絡(luò)保險公司Coalition去年分析了保單持有人的索賠數(shù)據(jù)，發(fā)現(xiàn)平均贖金2020年第一季度剛過23萬美元，但2020年第二季度就躍升到近33.9萬美元了。有些攻擊者，比如Maze系勒索軟件背后的黑客，平均向受害者索要42萬美元的贖金。Coveware的研究揭示，實際勒索軟件支出也直線上升，從2019年第四季度的稍稍超過8.4萬美元，飆升至2020年第三季度的近23.4萬美元。

但是，贖金本身只是總成本的一部分，而且對拒絕接受勒索的企業(yè)和機構(gòu)而言往往根本無需考慮。不過，即使拒絕支付贖金，攻擊所致成本在過去兩年間還是不斷增加了。安全專家表示，勒索軟件攻擊相關(guān)成本不斷上升很大程度上是由于下列五個常見原因。

1. 宕機成本

勒索軟件攻擊相關(guān)成本中，宕機導(dǎo)致的成本即使不算最大，也是比重較大的幾項之一了。遭受勒索軟件攻擊之后，受害者往往需要花費數(shù)天乃至數(shù)周的時間恢復(fù)系統(tǒng)。期間正常服務(wù)可能遭到嚴(yán)重干擾，導(dǎo)致業(yè)務(wù)損失、機會喪失、客戶好感度下滑、SLA被打破、品牌聲譽跌落等等。例如，UHS的巨額損失就是源自無法像平常一樣提供病患護理服務(wù)，以及開單延遲。

此類問題甚至還會更加嚴(yán)重。最近幾個月，惡意黑客開始對運營技術(shù)網(wǎng)絡(luò)下手，意圖延長受害者的宕機時間，增加他們支付贖金的壓力。今年早些時候包裝巨頭WestRock Company遭遇的攻擊就是一例，該公司多處制造廠和加工廠的運營受到影響。本田公司在2020年也遭遇了類似的攻擊，幾間海外工廠暫時中斷運營。

Veritas去年委托執(zhí)行的一項調(diào)查面向近2700名IT專業(yè)人士，三分之二的受訪者估計自家公司至少要花費五天時間才能從勒索軟件攻擊中恢復(fù)。Coveware另一份報告中的平均宕機時間甚至更長，2020年第四季度的平均宕機時間高達21天之久。

Datto首席信息安全官Ryan Weeks稱，公司去年的調(diào)查顯示，2020年勒索軟件攻擊相關(guān)宕機造成的平均成本比此前一年高出了93%，實在令人驚異。他表示：“宕機往往比贖金本身更傷錢。宕機成本的飆升速度讓我們不得不慎重對待勒索軟件攻擊潮。”

該公司的數(shù)據(jù)顯示，源自勒索軟件攻擊的宕機平均能產(chǎn)生高達27.42萬美元的成本，相比平均贖金確實要高得多。這就導(dǎo)致公司企業(yè)很容易屈服于攻擊者，乖乖支付贖金以求盡快恢復(fù)正常。例如，2018年，美國佐治亞州亞特蘭大市遭遇勒索軟件攻擊，該市拒絕支付贖金，系統(tǒng)恢復(fù)費用高達1700萬美元。然而，贖金本身僅價值5.1萬美元。

此類數(shù)據(jù)表明，企業(yè)和機構(gòu)需要設(shè)置考慮周全的網(wǎng)絡(luò)彈性策略和業(yè)務(wù)連續(xù)性計劃?？紤]業(yè)務(wù)連續(xù)性計劃的時候，企業(yè)和機構(gòu)需關(guān)注恢復(fù)時間目標(biāo)(RTO)，也就是業(yè)務(wù)運營最長在多少時間內(nèi)必須恢復(fù);以及恢復(fù)點目標(biāo)(RPO)，也就是需回溯到多久之前的可用數(shù)據(jù)。計算RTO有助于確定公司在無法訪問數(shù)據(jù)的情況下能撐多長時間而不陷入危機。指定RPO則可以弄清楚公司執(zhí)行數(shù)據(jù)備份的頻率。

2. 雙重勒索相關(guān)的成本

勒索軟件攻擊的趨勢令人備感憂慮，攻擊者開始在鎖定系統(tǒng)前盜取大量敏感數(shù)據(jù)，然后將這些被盜數(shù)據(jù)作為額外的籌碼再行勒索。只要受害者拒絕支付贖金，攻擊者就會通過暗網(wǎng)泄露數(shù)據(jù)。

日本日經(jīng)與趨勢科技聯(lián)合進行的調(diào)查研究發(fā)現(xiàn)，僅2020年1月到10月，全球超過1000家企業(yè)和機構(gòu)淪為了此類雙重勒索攻擊的受害者。據(jù)稱，此類攻擊始于Maze勒索軟件家族背后的黑客，然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索軟件攻擊團伙迅速跟進。上個季度，Coveware響應(yīng)的勒索軟件事件中70%都涉及數(shù)據(jù)盜竊。

Acronis網(wǎng)絡(luò)防護研究副總裁Candid Wuest稱：“事實上，許多勒索軟件攻擊團伙目前在加密之前盜取數(shù)據(jù)。這就增加了數(shù)據(jù)泄露的風(fēng)險，意味著即便系統(tǒng)宕機時間不長就恢復(fù)如初，公司可能也需要承擔(dān)品牌形象損害、法務(wù)費用、監(jiān)管罰款和數(shù)據(jù)泄露清理服務(wù)等所有相關(guān)成本。”

這一趨勢顛覆了對勒索軟件攻擊所致?lián)p失的一貫認知。無論數(shù)據(jù)備份和恢復(fù)流程多么完美，勒索軟件受害者如今必須直面敏感數(shù)據(jù)被公開披露或賣給競爭對手的真實可能性。因此，Digital Shadows高級網(wǎng)絡(luò)威脅情報分析師Xue Yin Peh認為，勒索軟件攻擊的受害者將不得不承受監(jiān)管機構(gòu)經(jīng)濟處罰的沖擊。根據(jù)歐盟《通用數(shù)據(jù)保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA)和《 健康保險流通與責(zé)任法案》(HIPAA)等監(jiān)管規(guī)定，被盜數(shù)據(jù)的披露和暴露可能構(gòu)成數(shù)據(jù)泄露。

Peh指出：“受害者還可能要面對第三方索賠或集體訴訟等形式的法律后果。”如果被攻擊者盜取并披露的數(shù)據(jù)涉及其他企業(yè)和機構(gòu)，比如第三方數(shù)據(jù)文件或客戶數(shù)據(jù)，那遭遇此類麻煩的概率還會增加。只要消費者數(shù)據(jù)被曝，公司就可以預(yù)期圍繞數(shù)據(jù)泄露通知的各項成本了。網(wǎng)絡(luò)保險費用也可能因為勒索軟件攻擊而上漲。

3. IT升級成本

勒索軟件攻擊結(jié)束后，企業(yè)和機構(gòu)有時候會低估事件響應(yīng)和防止后續(xù)攻擊的成本。如果受害者認為最佳選項是支付贖金，那么這種情況還會更加嚴(yán)重

。SentinelOne的SentinelLabs主管Migo Kedem表示：“在支付贖金拿回被感染機器的情形下，受害者并不能保證攻擊者不再染指他們的企業(yè)。”誰都無法確定攻擊者有沒有在系統(tǒng)中植入更多惡意軟件，也無法保證他們沒有將非法訪問權(quán)售賣或轉(zhuǎn)移給其他網(wǎng)絡(luò)犯罪團伙。攻擊者一旦收到贖金就會清理惡意軟件、刪除被盜數(shù)據(jù)、放棄受害網(wǎng)絡(luò)訪問權(quán)這種事，誰敢信?

為緩解進一步攻擊，公司企業(yè)常常必須升級自身基礎(chǔ)設(shè)施，實現(xiàn)更好的控制措施。Kedem稱：“受害者沒考慮到的隱藏成本包括保護網(wǎng)絡(luò)免遭進一步攻擊的事件響應(yīng)和IT升級成本。”

4. 贖金支付成本上升

很多公司支付贖金是覺得贖金比從頭開始恢復(fù)數(shù)據(jù)的開銷便宜。但安全專家表示，這種認知大錯特錯。Sophos去年進行的調(diào)查顯示，超過四分之一(26%)的勒索軟件受害者通過支付贖金找回了數(shù)據(jù)。

1%既付出了贖金，也沒拿回數(shù)據(jù)。Sophos發(fā)現(xiàn)，相比不向攻擊者低頭，那些確實支付了贖金的受害者最終付出了雙份的代價。包括宕機、設(shè)備與網(wǎng)絡(luò)修復(fù)開支、工時費、機會成本和贖金在內(nèi)，確實支付了贖金的公司企業(yè)平均產(chǎn)生約1400萬美元的勒索軟件攻擊平均成本，而不支付贖金的受害企業(yè)其平均成本為73.3萬美元。

個中原因就在于，受害者仍然需要做許多工作來恢復(fù)數(shù)據(jù)。Sophos表示，與恢復(fù)數(shù)據(jù)和重返正軌相關(guān)的成本，基本上相當(dāng)于公司企業(yè)從備份或用攻擊者提供的解密密鑰恢復(fù)數(shù)據(jù)的費用。所以，支付贖金僅僅是增加成本而已。

5. 聲譽損害成本

勒索軟件攻擊會侵蝕消費者信任與信心，造成公司流失客戶和業(yè)務(wù)。去年，Arcserve針對美國、英國及其他國家的2000名消費者進行了調(diào)查，發(fā)現(xiàn)28%的受訪者表示，一旦經(jīng)歷過哪怕一次服務(wù)中斷或數(shù)據(jù)無法訪問，他們就會轉(zhuǎn)向別家了。超過九成(94%)的受訪者稱，會在購買前考慮公司的可信度;59%表示會避開過去一年中遭受過網(wǎng)絡(luò)攻擊的公司。

近期一個自稱“分布式拒絕秘密”(Distributed Denial of Secrets)的組織浮出水面，令公司企業(yè)更難低調(diào)處理數(shù)據(jù)泄露事件了。該組織以維基解密為樣板，宣稱收集了勒索軟件攻擊者泄露在網(wǎng)上的大量數(shù)據(jù)，并將以信息透明的名義公開這些數(shù)據(jù)。已有多家公司的數(shù)據(jù)遭到該組織曝光，據(jù)稱數(shù)據(jù)都是從勒索軟件攻擊團伙用來泄露被盜數(shù)據(jù)的網(wǎng)站和論壇上獲取的。