2021年，勒索軟件禍害直沖前所未有的高度，勒索軟件攻擊團伙往往索要數(shù)百萬美元之巨的贖金，并且很多時候都能得逞。去年6月，全球最大肉類加工企業(yè)JBS證實，因勒索軟件干擾運營，已向攻擊者支付相當(dāng)于1100萬美元的贖金。

2021年5月，Colonial Pipeline給勒索軟件攻擊者打錢443萬美元，不過，在隨后的行動中，美國司法部(DOJ)沒收了其中230萬美元。同樣是在5月，因遭受Conti勒索軟件滋擾，備份設(shè)備供應(yīng)商ExaGrid向網(wǎng)絡(luò)犯罪團伙支付了260萬美元贖金。

但是，贖金什么的，在收入損失等勒索軟件攻擊造成的實際成本面前，還只算得上小巫見大巫。對于大多數(shù)私營公司而言，勒索軟件攻擊的成本，甚至攻擊本身，都可以隱而不現(xiàn)，這也是上周立法規(guī)定所有公司都必須報告贖金支付情況的緣由所在。

另一方面，上市公司則有義務(wù)向美國證券交易委員會(SEC)報告對其運營造成實際影響的任何網(wǎng)絡(luò)事件，包括勒索軟件攻擊。在SEC注冊的大多數(shù)上市企業(yè)通過填報8-K報表來履行這一義務(wù)。(注意：SEC正在制定計劃，要求所有上市公司：一旦注冊人確定公司經(jīng)歷了重大網(wǎng)絡(luò)安全事件，必須在四天內(nèi)上報SEC。)

網(wǎng)絡(luò)安全媒體CSO仔細(xì)查閱SEC的8-K文件之后發(fā)現(xiàn)，2020年和2021年期間，有30家上市公司報告了勒索軟件事件、支付了勒索軟件相關(guān)費用，或者收到勒索軟件相關(guān)的保險賠償。盡管這些文件大多認(rèn)定勒索軟件攻擊非重大級別，或者缺乏詳細(xì)說明事件處理成本所需的財務(wù)數(shù)據(jù)，但有七份文件記錄了足夠的成本數(shù)據(jù)，可供一窺勒索軟件事件的成本可能有多高。

七個相關(guān)案例簡述

1. Sinclair Broadcast Group

這家媒體和廣播巨頭報告稱2021年10月遭遇了勒索軟件事件。Sinclair表示自己并未支付贖金，能夠依靠備份恢復(fù)網(wǎng)絡(luò)，但發(fā)生的一些中斷影響了收入和費用。該事件導(dǎo)致廣播部門第四季度廣告收入損失6300萬美元，修復(fù)成本為1100萬美元。得到保險賠償后，該公司估算此次網(wǎng)絡(luò)事件造成大約2400萬美元無法挽回的凈損失。不過，由于恢復(fù)細(xì)節(jié)仍未確定，這一估計數(shù)據(jù)可能還會增加。

2. Blackbaud, Inc

2020年5月，云技術(shù)公司Blackbaud遭到勒索軟件攻擊，但該公司成功阻止了攻擊者中斷其系統(tǒng)訪問，并粉碎了攻擊者完全加密其文件的意圖，最終將攻擊者從其系統(tǒng)中驅(qū)逐了出去。然而，攻擊者刪除了其自托管私有云環(huán)境中的部分?jǐn)?shù)據(jù)副本，Blackbaud還是不得不支付了攻擊者索要的贖金。

2020年，Blackbaud的安全事件相關(guān)費用為1040萬美元，抵消了940萬美元的保險賠償。來自客戶或律師的事件相關(guān)費用報銷索賠大約有570份。2021年7月，法院批準(zhǔn)這些訴訟繼續(xù)進行。2022年2月，Blackbaud簽訂了一份信貸協(xié)議，預(yù)計與數(shù)據(jù)泄露和勒索軟件攻擊相關(guān)的非經(jīng)常性法律費用高達(dá)5000萬美元。

3. WestRock Company

2021年1月23日，這家差異化紙張與包裝解決方案提供商遭到勒索軟件攻擊，致使IT和運營技術(shù)系統(tǒng)中斷。該公司聲稱，2021年第二季度的銷售損失和運營中斷造成凈銷售額減少1.89億美元，部門收入減少8000萬美元。WestRock還表示，事件產(chǎn)生了大約2000萬美元的勒索軟件恢復(fù)成本，主要是支付專業(yè)費用。WestRock預(yù)計未來將通過網(wǎng)絡(luò)和業(yè)務(wù)中斷保險挽回勒索軟件損失。

4. Radiant Logistics

2021年12月8日，這家物流和多式聯(lián)運公司遭到勒索軟件攻擊，運營和IT系統(tǒng)受損。Radiant表示，該事件導(dǎo)致公司12月份營收損失和成本增加，預(yù)計將對公司2022財年第二季度的業(yè)績產(chǎn)生不利影響。

該公司指出，在公司下線各個系統(tǒng)之前，攻擊者從公司服務(wù)器上提取了其客戶和員工的相關(guān)數(shù)據(jù)。公司正積極聯(lián)系可能受這些事件影響的用戶。在詳細(xì)介紹其2021年全年財務(wù)數(shù)據(jù)時，Radiant表示，12月勒索軟件相關(guān)事件成本為75萬美元，其中包括第三方取證專家和其他IT專業(yè)費用、法律費用以及增加的加班費和員工相關(guān)費用。

5. Mineral Technologies

2020年10月26日，這家礦物技術(shù)公司遭到Egregor勒索軟件攻擊。Mineral表示，2020財年遭遇勒索軟件攻擊后，公司在系統(tǒng)恢復(fù)和風(fēng)險緩解方面產(chǎn)生了400萬美元的費用。

6. Benchmark Electronics

這家電子工程公司最初于2019年11月5日報告稱遭到勒索軟件攻擊，攻擊導(dǎo)致客戶和員工一度無法訪問其系統(tǒng)和服務(wù)。受攻擊影響，該公司2019財年支付了768.1萬美元的勒索軟件事件相關(guān)費用。到2021年底，大概是獲得了保險賠償，Benchmark Electronics補上了其中398.9萬美元。

7. Faneuil

身為ALJ Regional的子公司，這家業(yè)務(wù)流程外包解決方案提供商于2021年8月18日檢測到勒索軟件攻擊。Faneuil展開調(diào)查并聘請法律顧問和其他事件響應(yīng)專業(yè)人員，實施了一系列遏制和補救措施來緩解事態(tài)，并通過主流網(wǎng)絡(luò)安全公司加強其信息技術(shù)系統(tǒng)安全。受此事件影響，F(xiàn)aneuil付出了大約280萬美元的費用和罰款。Faneuil確認(rèn)應(yīng)獲得190萬美元保險追償，目前收到130萬美元保險賠付。余下的保險賠償款預(yù)計在2022年3月31日之前付清。

勒索軟件緩解過程矯正技術(shù)債務(wù)

Recorded Future情報分析師Allan Liska向媒體透露：“恢復(fù)過程中有很多我們通常考慮不到的費用。只要不打算不支付贖金，就必須恢復(fù)所有機器。因此，你得準(zhǔn)備好面對事件響應(yīng)開支和隨之而來的一切費用。你覺得這可能就是幾百萬美元。但是，除此之外，應(yīng)該計入其中的費用還有很多，比如Blackbaud遭遇的巨額法律費用?！?/p>

Liska補充道：“另一項應(yīng)該計入勒索軟件恢復(fù)費用的大筆開支，是勒索軟件緩解過程中補上的技術(shù)債務(wù)：那些應(yīng)該實現(xiàn)但卻擱置多年的項目。我們兩年前就應(yīng)該實現(xiàn)多因素身份驗證了?，F(xiàn)在，經(jīng)歷勒索軟件攻擊之后，我們總算能開工了。經(jīng)歷勒索軟件攻擊之后開放安全預(yù)算幾乎成了常規(guī)，而這些錢勢必來自別的地方，不屬于原先的安全預(yù)算。于是，跟乾坤大挪移似的，最終算成了勒索軟件費用。”