勒索软件攻击导致的全部成本中,赎金依然只占据一小部分,但相关成本却在持续增长。
没多少企业和机构像美国环球健康服务(UHS)那么悲剧:2020年9月被勒索软件攻击搞瘫网络,此后相关成本累积到6700万美元之巨。然而,UHS不过是勒索软件攻击导致沉重经济损失不断累加的个案,过去两年来,此类攻击引发受害者持续失血的案例不知凡几。
跟踪勒索软件攻击趋势的安全专家认为,有多个因素在推升勒索软件攻击的相关成本,尤其是对医疗保健行业的企业和机构而言。其中最明显的是攻击者索要赎金平均数额的上涨。
网络保险公司Coalition去年分析了保单持有人的索赔数据,发现平均赎金2020年第一季度刚过23万美元,但2020年第二季度就跃升到近33.9万美元了。有些攻击者,比如Maze系勒索软件背后的黑客,平均向受害者索要42万美元的赎金。Coveware的研究揭示,实际勒索软件支出也直线上升,从2019年第四季度的稍稍超过8.4万美元,飙升至2020年第三季度的近23.4万美元。
但是,赎金本身只是总成本的一部分,而且对拒绝接受勒索的企业和机构而言往往根本无需考虑。不过,即使拒绝支付赎金,攻击所致成本在过去两年间还是不断增加了。安全专家表示,勒索软件攻击相关成本不断上升很大程度上是由于下列五个常见原因。
1.宕机成本
勒索软件攻击相关成本中,宕机导致的成本即使不算最大,也是比重较大的几项之一了。遭受勒索软件攻击之后,受害者往往需要花费数天乃至数周的时间恢复系统。期间正常服务可能遭到严重干扰,导致业务损失、机会丧失、客户好感度下滑、SLA被打破、品牌声誉跌落等等。例如,UHS的巨额损失就是源自无法像平常一样提供病患护理服务,以及开单延迟。
此类问题甚至还会更加严重。最近几个月,恶意黑客开始对运营技术网络下手,意图延长受害者的宕机时间,增加他们支付赎金的压力。今年早些时候包装巨头WestRock Company遭遇的攻击就是一例,该公司多处制造厂和加工厂的运营受到影响。本田公司在2020年也遭遇了类似的攻击,几间海外工厂暂时中断运营。
Veritas去年委托执行的一项调查面向近2700名IT专业人士,三分之二的受访者估计自家公司至少要花费五天时间才能从勒索软件攻击中恢复。Coveware另一份报告中的平均宕机时间甚至更长,2020年第四季度的平均宕机时间高达21天之久。
Datto首席信息安全官Ryan Weeks称,公司去年的调查显示,2020年勒索软件攻击相关宕机造成的平均成本比此前一年高出了93%,实在令人惊异。他表示:“宕机往往比赎金本身更伤钱。宕机成本的飙升速度让我们不得不慎重对待勒索软件攻击潮。”
该公司的数据显示,源自勒索软件攻击的宕机平均能产生高达27.42万美元的成本,相比平均赎金确实要高得多。这就导致公司企业很容易屈服于攻击者,乖乖支付赎金以求尽快恢复正常。例如,2018年,美国佐治亚州亚特兰大市遭遇勒索软件攻击,该市拒绝支付赎金,系统恢复费用高达1700万美元。然而,赎金本身仅价值5.1万美元。
此类数据表明,企业和机构需要设置考虑周全的网络弹性策略和业务连续性计划。考虑业务连续性计划的时候,企业和机构需关注恢复时间目标(RTO),也就是业务运营最长在多少时间内必须恢复;以及恢复点目标(RPO),也就是需回溯到多久之前的可用数据。计算RTO有助于确定公司在无法访问数据的情况下能撑多长时间而不陷入危机。指定RPO则可以弄清楚公司执行数据备份的频率。
2.双重勒索相关的成本
勒索软件攻击的趋势令人备感忧虑,攻击者开始在锁定系统前盗取大量敏感数据,然后将这些被盗数据作为额外的筹码再行勒索。只要受害者拒绝支付赎金,攻击者就会通过暗网泄露数据。
日本日经与趋势科技联合进行的调查研究发现,仅2020年1月到10月,全球超过1000家企业和机构沦为了此类双重勒索攻击的受害者。据称,此类攻击始于Maze勒索软件家族背后的黑客,然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索软件攻击团伙迅速跟进。上个季度,Coveware响应的勒索软件事件中70%都涉及数据盗窃。
Acronis网络防护研究副总裁Candid Wuest称:“事实上,许多勒索软件攻击团伙目前在加密之前盗取数据。这就增加了数据泄露的风险,意味着即便系统宕机时间不长就恢复如初,公司可能也需要承担品牌形象损害、法务费用、监管罚款和数据泄露清理服务等所有相关成本。”
这一趋势颠覆了对勒索软件攻击所致损失的一贯认知。无论数据备份和恢复流程多么完美,勒索软件受害者如今必须直面敏感数据被公开披露或卖给竞争对手的真实可能性。因此,Digital Shadows高级网络威胁情报分析师Xue Yin Peh认为,勒索软件攻击的受害者将不得不承受监管机构经济处罚的冲击。根据欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA)和《健康保险流通与责任法案》(HIPAA)等监管规定,被盗数据的披露和暴露可能构成数据泄露。
Peh指出:“受害者还可能要面对第三方索赔或集体诉讼等形式的法律后果。”如果被攻击者盗取并披露的数据涉及其他企业和机构,比如第三方数据文件或客户数据,那遭遇此类麻烦的概率还会增加。只要消费者数据被曝,公司就可以预期围绕数据泄露通知的各项成本了。网络保险费用也可能因为勒索软件攻击而上涨。
3.IT升级成本
勒索软件攻击结束后,企业和机构有时候会低估事件响应和防止后续攻击的成本。如果受害者认为最佳选项是支付赎金,那么这种情况还会更加严重。
SentinelOne的SentinelLabs主管Migo Kedem表示:“在支付赎金拿回被感染机器的情形下,受害者并不能保证攻击者不再染指他们的企业。”谁都无法确定攻击者有没有在系统中植入更多恶意软件,也无法保证他们没有将非法访问权售卖或转移给其他网络犯罪团伙。攻击者一旦收到赎金就会清理恶意软件、删除被盗数据、放弃受害网络访问权这种事,谁敢信?
为缓解进一步攻击,公司企业常常必须升级自身基础设施,实现更好的控制措施。Kedem称:“受害者没考虑到的隐藏成本包括保护网络免遭进一步攻击的事件响应和IT升级成本。”
4.赎金支付成本上升
很多公司支付赎金是觉得赎金比从头开始恢复数据的开销便宜。但安全专家表示,这种认知大错特错。Sophos去年进行的调查显示,超过四分之一(26%)的勒索软件受害者通过支付赎金找回了数据。但有1%既付出了赎金,也没拿回数据。
Sophos发现,相比不向攻击者低头,那些确实支付了赎金的受害者最终付出了双份的代价。包括宕机、设备与网络修复开支、工时费、机会成本和赎金在内,确实支付了赎金的公司企业平均产生约1400万美元的勒索软件攻击平均成本,而不支付赎金的受害企业其平均成本为73.3万美元。
个中原因就在于,受害者仍然需要做许多工作来恢复数据。Sophos表示,与恢复数据和重返正轨相关的成本,基本上相当于公司企业从备份或用攻击者提供的解密密钥恢复数据的费用。所以,支付赎金仅仅是增加成本而已。
5.声誉损害成本
勒索软件攻击会侵蚀消费者信任与信心,造成公司流失客户和业务。去年,Arcserve针对美国、英国及其他国家的2000名消费者进行了调查,发现28%的受访者表示,一旦经历过哪怕一次服务中断或数据无法访问,他们就会转向别家了。超过九成(94%)的受访者称,会在购买前考虑公司的可信度;59%表示会避开过去一年中遭受过网络攻击的公司。
近期一个自称“分布式拒绝秘密”(Distributed Denial of Secrets)的组织浮出水面,令公司企业更难低调处理数据泄露事件了。该组织以维基解密为样板,宣称收集了勒索软件攻击者泄露在网上的大量数据,并将以信息透明的名义公开这些数据。已有多家公司的数据遭到该组织曝光,据称数据都是从勒索软件攻击团伙用来泄露被盗数据的网站和论坛上获取的。