勒索軟件攻擊成本上升的5個原因
調查表明,勒索贖金仍然只是組織遭遇網絡攻擊造成損失的一小部分,但相關成本卻在增加。
在2020年9月遭到勒索攻擊之后,美國聯合健康集團(UHS)最終支付了6700萬美元的勒索相關費用。但是,該組織只是遭遇勒索軟件攻擊造成重大經濟損失的一個例子,在過去兩年中,勒索軟件對受害者造成的經濟損失越來越嚴重。
一直關注這一趨勢的安全專家指出,有一些因素推動了勒索軟件攻擊成本的增加,尤其是對醫療保健行業的組織來說。其中最明顯的一點是,勒索軟件攻擊者向受害者索要的贖金有所增加。
美國網絡保險聯盟去年對投保者的理賠數據進行的調查表明,贖金要求平均成本從2020年第一季度的230000美元增長到2020年第二季度的338,669美元,增長了47%。Coveware公司的一項研究發現,勒索軟件的實際支出也從2019年第四季度略高于84000美元快速增長到2020年第三季度的233817美元。
但是,勒索贖金本身只是總成本的一部分,對于拒絕接受勒索的組織來說,贖金往往根本不是成本上升的一個因素。即使對這些組織來說,在過去兩年的時間里,網絡攻擊造成的成本也在穩步上升。安全專家表示,以下是勒索軟件攻擊導致成本上升的5個原因:
1.停機成本
停機成本已經成為與勒索軟件攻擊相關的最主要成本之一。受害者在遭受勒索軟件攻擊之后,通常可能需要數天甚至數周才能恢復。在此期間,組織正常服務可能會中斷,從而導致業務損失、機會成本損失、客戶信譽損失、服務等級協議(SLA)損失、品牌信譽損失以及一系列其他問題。例如,美國聯合健康集團(UHS)的大部分停機成本與損失收入有關,因為在停機期間無法像往常那樣為患者提供醫療護理服務,并且導致延遲支付賬單。
這樣的問題可能會變得更糟。在最近幾個月中,網絡攻擊者已經開始以運營網絡為目標,以最大限度地延長受害者的停機時間,并增加受害者支付贖金的壓力。其中一個例子是今年早些時候對包裝業巨頭WestRock公司的攻擊,這次網絡攻擊影響了該公司某些工廠和加工工廠的運營。2020年對汽車制造商本田公司的類似襲擊暫時中斷了該公司海外的一些工廠的運營。
Veritas公司去年對將近2700名IT專業人士進行了調查,其中三分之二的受訪者估計,他們的組織至少需要5天的時間才能從勒索軟件攻擊中恢復過來。Coveware公司的另一份調查報告指出,全球2020年第四季度的平均停機時間顯著增加,平均為21天。
Datto公司首席信息安全官Ryan Weeks說,該公司去年所做的一項調查表明,2020年與勒索軟件攻擊相關的平均停機成本比一年前高出了驚人的93%。他說,“停機造成的成本損失往往比贖金本身要昂貴得多,停機成本的增長確實使勒索軟件的流行成為現實。”
該公司的調查數據表明,勒索軟件攻擊造成的平均停機時間可能造成高達27.42萬美元的損失,甚至遠高于勒索軟件帶來的損失。Weeks說,這可能使組織很容易接受攻擊者的勒索要求。他說:“例如,佐治亞州亞特蘭大市在2018年遭受勒索軟件攻擊,使該市損失了至少1700萬美元。但是,索要的勒索贖金只有51,000美元。”
Weeks說,這些數字表明,組織需要制定周密的網絡彈性策略和業務連續性計劃。在考慮業務連續性計劃時,組織需要考慮諸如恢復時間目標(RTO)(必須恢復業務操作的最長持續時間)和恢復點目標(RPO)之類的問題,他們需要回溯多長時間去檢索仍然可用的數據。他說:“恢復時間目標(RTO)有助于確定組織在沒有數據訪問的情況下,在面臨風險之前能夠承受的最長運營時間。另外,通過指定恢復點目標(RPO),可以知道需要多長時間執行一次數據備份。”
2.與雙重勒索有關的成本
在令人不安的發展過程中,勒索軟件運營商開始從組織那里竊取大量敏感數據,然后再鎖定其系統,最后將所竊取的數據作為勒索贖金的手段。當組織拒絕支付贖金時,勒索軟件攻擊者會通過為此目的構建的暗網泄漏數據。
日本《日經新聞》與Trend Micro公司合作進行的一項研究發現,僅在2020年的前10個月,全球有1000多個組織就成為了這種雙重勒索攻擊的受害者。這種做法始于Maze勒索軟件家族運營商,但很快被攻擊者組織效仿,其中包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor勒索軟件家族的運營商。根據Coveware公司的調查,在去年第四季度發生的勒索軟件事件中,其中70%涉及數據泄露。
Acronis公司網絡保護研究副總裁Candid Wuest說:“許多勒索軟件組織通常在加密數據之前先竊取數據,這增加了數據泄漏的風險。這意味著更可能需要所有相關成本,例如企業信譽損失、法律費用、監管罰款和數據泄露清理服務,即使在沒有重大停機時間的情況下恢復系統也是如此。”
這種趨勢顛覆了與勒索軟件攻擊相關的傳統方法。現在,勒索軟件的受害者(甚至是那些擁有最佳數據備份和恢復流程的受害者)現在必須應對其敏感數據公開泄漏或出售給競爭對手的挑戰。Digital Shadows公司高級網絡威脅情報分析師Xue Yin Peh表示,受到勒索軟件攻擊的受害者還將受到監管機構的經濟處罰。根據諸如歐盟的GDPR、加利福尼亞州的CCPA和HIPAA之類的隱私法規,受害者泄露數據可能構成違規行為。
Peh指出,受害者還可能以第三方索賠或集體訴訟的形式面臨法律問題。當網絡攻擊者竊取和發布的數據涉及其他組織(例如第三方數據文件或客戶端數據)時,發生此類問題的可能性就會增加。如果泄露了消費者數據,那么組織可能會面臨違規而受到處罰的成本,以及由于勒索軟件攻擊而導致的保險費用也可能會增加。
3. IT升級成本
在勒索軟件攻擊之后,受害者有時會低估所涉及的成本,不僅是對事件的響應,而且是保護網絡免受進一步攻擊的代價。在組織可能認為最佳選擇是向勒索者支付贖金的情況下尤其如此。
SentinelOne公司SentinelLabs負責人Migo Kedem說:“在支付贖金之后,受害者無法保證攻擊者不再進行攻擊和勒索。他們無法保證勒索軟件攻擊者沒有在其系統上植入更多惡意軟件,也無法保證勒索者沒有對外出售或轉移其非法訪問權給另一個勒索組織。并且無法保證攻擊者在獲得贖金之后不會刪除被盜數據,或放棄對受害網絡的訪問。”
為了減輕進一步的勒索攻擊,組織通常必須升級其基礎設施并實施更好的控制。Kedem說:“受害者沒有考慮到的隱性成本是事件響應和IT升級成本,這些是保護該網絡免受進一步攻擊所必需的成本。”
4.支付贖金增加的成本
許多組織選擇支付贖金,認為這比從頭恢復數據便宜。安全專家指出,這是一個嚴重的錯誤。Sophos公司去年進行的一項調查表明,超過四分之一(26%)的勒索軟件受害者向勒索者支付了贖金以取回數據。另外,還有1%的受害者雖然支付了贖金,卻沒有贖回數據。
Sophos公司發現,那些支付贖金的組織最終支付的總成本是未支付贖金組織的兩倍。對于確實支付贖金的組織來說,勒索軟件攻擊的平均成本(包括停機、設備和網絡維修與恢復成本、人員時間、機會成本和贖金)約為140萬美元,而未付贖金組織的平均成本約為73.3萬美元。
Sophos公司的調查發現,在支付贖金之后,受害者仍然需要完成大量工作來恢復數據。據該公司稱,無論組織是從備份中恢復數據還是使用網絡攻擊者提供的解密密鑰,與數據恢復和恢復正常相關的成本大致相同。因此,支付贖金只會增加這些成本。
5.組織聲譽損失的成本
勒索軟件攻擊將會影響消費者的信任和打擊信心,并導致組織失去客戶和業務。去年,Arcserve公司對來自美國、英國和其他國家/地區的近2,000名消費者進行的一項調查顯示,28%的消費者表示,即使他們經歷了一次服務中斷或無法訪問其數據的情況,他們也會把業務轉移到其他組織。93%的受訪者表示,他們在購買產品或服務之前會考慮組織的可信度,59%的受訪者表示,他們會避免與過去12個月遭遇網絡攻擊的組織開展業務。
最近出現了一個名為“分布式拒絕機密”的組織,這可能很快會讓受害的組織難以隱瞞數據泄露事件。該組織以維基解密的模式,對外聲稱收集了勒索軟件攻擊者在網上泄露的大量數據,并表示將以公開透明的名義發布這些數據。該組織已經公布了多家公司的數據,并聲稱這些數據來自勒索軟件運營商用來泄露被盜數據的網站和論壇。
