调查表明,勒索赎金仍然只是组织遭遇网络攻击造成损失的一小部分,但相关成本却在增加。
在2020年9月遭到勒索攻击之后,美国联合健康集团(UHS)最终支付了6700万美元的勒索相关费用。但是,该组织只是遭遇勒索软件攻击造成重大经济损失的一个例子,在过去两年中,勒索软件对受害者造成的经济损失越来越严重。
一直关注这一趋势的安全专家指出,有一些因素推动了勒索软件攻击成本的增加,尤其是对医疗保健行业的组织来说。其中最明显的一点是,勒索软件攻击者向受害者索要的赎金有所增加。
美国网络保险联盟去年对投保者的理赔数据进行的调查表明,赎金要求平均成本从2020年第一季度的230000美元增长到2020年第二季度的338,669美元,增长了47%。Coveware公司的一项研究发现,勒索软件的实际支出也从2019年第四季度略高于84000美元快速增长到2020年第三季度的233817美元。
但是,勒索赎金本身只是总成本的一部分,对于拒绝接受勒索的组织来说,赎金往往根本不是成本上升的一个因素。即使对这些组织来说,在过去两年的时间里,网络攻击造成的成本也在稳步上升。安全专家表示,以下是勒索软件攻击导致成本上升的5个原因:
1.停机成本
停机成本已经成为与勒索软件攻击相关的最主要成本之一。受害者在遭受勒索软件攻击之后,通常可能需要数天甚至数周才能恢复。在此期间,组织正常服务可能会中断,从而导致业务损失、机会成本损失、客户信誉损失、服务等级协议(SLA)损失、品牌信誉损失以及一系列其他问题。例如,美国联合健康集团(UHS)的大部分停机成本与损失收入有关,因为在停机期间无法像往常那样为患者提供医疗护理服务,并且导致延迟支付账单。
这样的问题可能会变得更糟。在最近几个月中,网络攻击者已经开始以运营网络为目标,以最大限度地延长受害者的停机时间,并增加受害者支付赎金的压力。其中一个例子是今年早些时候对包装业巨头WestRock公司的攻击,这次网络攻击影响了该公司某些工厂和加工工厂的运营。2020年对汽车制造商本田公司的类似袭击暂时中断了该公司海外的一些工厂的运营。
Veritas公司去年对将近2700名IT专业人士进行了调查,其中三分之二的受访者估计,他们的组织至少需要5天的时间才能从勒索软件攻击中恢复过来。Coveware公司的另一份调查报告指出,全球2020年第四季度的平均停机时间显著增加,平均为21天。
Datto公司首席信息安全官Ryan Weeks说,该公司去年所做的一项调查表明,2020年与勒索软件攻击相关的平均停机成本比一年前高出了惊人的93%。他说,“停机造成的成本损失往往比赎金本身要昂贵得多,停机成本的增长确实使勒索软件的流行成为现实。”
该公司的调查数据表明,勒索软件攻击造成的平均停机时间可能造成高达27.42万美元的损失,甚至远高于勒索软件带来的损失。Weeks说,这可能使组织很容易接受攻击者的勒索要求。他说:“例如,佐治亚州亚特兰大市在2018年遭受勒索软件攻击,使该市损失了至少1700万美元。但是,索要的勒索赎金只有51,000美元。”
Weeks说,这些数字表明,组织需要制定周密的网络弹性策略和业务连续性计划。在考虑业务连续性计划时,组织需要考虑诸如恢复时间目标(RTO)(必须恢复业务操作的最长持续时间)和恢复点目标(RPO)之类的问题,他们需要回溯多长时间去检索仍然可用的数据。他说:“恢复时间目标(RTO)有助于确定组织在没有数据访问的情况下,在面临风险之前能够承受的最长运营时间。另外,通过指定恢复点目标(RPO),可以知道需要多长时间执行一次数据备份。”
2.与双重勒索有关的成本
在令人不安的发展过程中,勒索软件运营商开始从组织那里窃取大量敏感数据,然后再锁定其系统,最后将所窃取的数据作为勒索赎金的手段。当组织拒绝支付赎金时,勒索软件攻击者会通过为此目的构建的暗网泄漏数据。
日本《日经新闻》与Trend Micro公司合作进行的一项研究发现,仅在2020年的前10个月,全球有1000多个组织就成为了这种双重勒索攻击的受害者。这种做法始于Maze勒索软件家族运营商,但很快被攻击者组织效仿,其中包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor勒索软件家族的运营商。根据Coveware公司的调查,在去年第四季度发生的勒索软件事件中,其中70%涉及数据泄露。
Acronis公司网络保护研究副总裁Candid Wuest说:“许多勒索软件组织通常在加密数据之前先窃取数据,这增加了数据泄漏的风险。这意味着更可能需要所有相关成本,例如企业信誉损失、法律费用、监管罚款和数据泄露清理服务,即使在没有重大停机时间的情况下恢复系统也是如此。”
这种趋势颠覆了与勒索软件攻击相关的传统方法。现在,勒索软件的受害者(甚至是那些拥有最佳数据备份和恢复流程的受害者)现在必须应对其敏感数据公开泄漏或出售给竞争对手的挑战。Digital Shadows公司高级网络威胁情报分析师Xue Yin Peh表示,受到勒索软件攻击的受害者还将受到监管机构的经济处罚。根据诸如欧盟的GDPR、加利福尼亚州的CCPA和HIPAA之类的隐私法规,受害者泄露数据可能构成违规行为。
Peh指出,受害者还可能以第三方索赔或集体诉讼的形式面临法律问题。当网络攻击者窃取和发布的数据涉及其他组织(例如第三方数据文件或客户端数据)时,发生此类问题的可能性就会增加。如果泄露了消费者数据,那么组织可能会面临违规而受到处罚的成本,以及由于勒索软件攻击而导致的保险费用也可能会增加。
3. IT升级成本
在勒索软件攻击之后,受害者有时会低估所涉及的成本,不仅是对事件的响应,而且是保护网络免受进一步攻击的代价。在组织可能认为最佳选择是向勒索者支付赎金的情况下尤其如此。
SentinelOne公司SentinelLabs负责人Migo Kedem说:“在支付赎金之后,受害者无法保证攻击者不再进行攻击和勒索。他们无法保证勒索软件攻击者没有在其系统上植入更多恶意软件,也无法保证勒索者没有对外出售或转移其非法访问权给另一个勒索组织。并且无法保证攻击者在获得赎金之后不会删除被盗数据,或放弃对受害网络的访问。”
为了减轻进一步的勒索攻击,组织通常必须升级其基础设施并实施更好的控制。Kedem说:“受害者没有考虑到的隐性成本是事件响应和IT升级成本,这些是保护该网络免受进一步攻击所必需的成本。”
4.支付赎金增加的成本
许多组织选择支付赎金,认为这比从头恢复数据便宜。安全专家指出,这是一个严重的错误。Sophos公司去年进行的一项调查表明,超过四分之一(26%)的勒索软件受害者向勒索者支付了赎金以取回数据。另外,还有1%的受害者虽然支付了赎金,却没有赎回数据。
Sophos公司发现,那些支付赎金的组织最终支付的总成本是未支付赎金组织的两倍。对于确实支付赎金的组织来说,勒索软件攻击的平均成本(包括停机、设备和网络维修与恢复成本、人员时间、机会成本和赎金)约为140万美元,而未付赎金组织的平均成本约为73.3万美元。
Sophos公司的调查发现,在支付赎金之后,受害者仍然需要完成大量工作来恢复数据。据该公司称,无论组织是从备份中恢复数据还是使用网络攻击者提供的解密密钥,与数据恢复和恢复正常相关的成本大致相同。因此,支付赎金只会增加这些成本。
5.组织声誉损失的成本
勒索软件攻击将会影响消费者的信任和打击信心,并导致组织失去客户和业务。去年,Arcserve公司对来自美国、英国和其他国家/地区的近2,000名消费者进行的一项调查显示,28%的消费者表示,即使他们经历了一次服务中断或无法访问其数据的情况,他们也会把业务转移到其他组织。93%的受访者表示,他们在购买产品或服务之前会考虑组织的可信度,59%的受访者表示,他们会避免与过去12个月遭遇网络攻击的组织开展业务。
最近出现了一个名为“分布式拒绝机密”的组织,这可能很快会让受害的组织难以隐瞒数据泄露事件。该组织以维基解密的模式,对外声称收集了勒索软件攻击者在网上泄露的大量数据,并表示将以公开透明的名义发布这些数据。该组织已经公布了多家公司的数据,并声称这些数据来自勒索软件运营商用来泄露被盗数据的网站和论坛。