United Health Services(UHS)去年承受勒索软件攻击所导致的最终损失高达6700万美元!2020年9月的一起攻击导致其网络瘫痪。尽管能达到如此高额损失的组织为数并不多,但是,它却是一个典型案例,表明勒索软件攻击在过去两年已开始给受害者造成越来越严重的经济损失。
一直跟踪分析勒索软件攻击趋势的安全专家指出,几个因素导致与勒索软件攻击有关的损失不断上升,对于医疗保健行业的组织而言更是如此。其中一个最明显的因素就是,攻击者向受害者索要的平均赎金数额在上涨。
网络保险公司Coalition去年分析了投保人的索赔数据,结果发现攻击者索要的平均赎金从2020年第一季度的230000美元,猛增至2020年第二季度的338669美元,增幅高达47%。一些攻击者向受害者索要的平均赎金为420000美元,比如Maze勒索软件背后的团伙。Coveware的研究发现,实际支付的勒索软件赎金也直线上升,从2019年第四季度的84000美元,飙升至2020年第三季度的逾233817美元。
然而,赎金本身只是总损失的一小部分,拒不支付赎金对组织而言常常不是首选项。对受到攻击的组织来说,攻击损失在过去两年左右的时间中稳步增加。据安全专家们声称,以下这五个最常见的原因可以解释为什么会出现这种情况。
宕机损失
宕机就算不是勒索软件攻击造成的最大损失,至少也是最大损失之一。遭到勒索软件攻击之后,受害者常常要花数天、有时乃至数周的时间来恢复系统。而在此期间,平常的服务可能受到严重干扰,导致业务流失、失去机会造成的损失、客户好感度下降、服务级别协议(SLA)无法履行、品牌受损以及其他一大堆问题。比如说,由于无法正常提供患者护理服务,加上计费延迟,UHS的损失大部分与收入减少有关。
这类问题甚至可能更严重。近几个月来,不法分子已开始攻击运营技术网络,企图尽量延长受害者的宕机时间,并加大压力以迫使对方支付赎金。今年早些时候包装巨头WestRock Company遭遇攻击就是一个例子,该公司旗下的多家制造厂和加工厂的运营因而受到了影响。本田公司在2020年遭到了一起类似的攻击,这家汽车制造商在日本境外的几家工厂出现了运营暂时中断。
维尔公司去年委托第三方对近2700名IT专业人士开展了一项调查,三分之二的受访者估计,遭到勒索软件攻击后,所在组织至少要花五天的时间才能恢复正常。Coveware的另一份报告估计平均宕机时间要长得多,估计2020年第四季度平均宕机21天。
Datto的首席信息安全官Ryan Weeks表示,该公司去年开展的调查显示,2020年与勒索软件攻击有关的宕机造成的平均损失比前一年整整高出了93%。他说:“宕机造成的损失常常比赎金本身高得多。宕机损失迅速上涨,我们不得不认真看待猖獗的勒索软件攻击。”
该公司的数据显示,勒索软件攻击引起的宕机造成的损失平均超过274200美元,比索要的平均赎金高得多。Weeks表示,这就导致许多组织忍不住干脆按攻击者的要求支付赎金。他说:“比如在2018年,佐治亚州亚特兰大市遭遇勒索软件攻击,该市花费了逾1700万美元才恢复过来。然而,赎金本身只有区区51000美元。”
Weeks表示,这些数据表明,组织需要有一项考虑周全的网络弹性策略和业务连续性计划。组织在考虑业务连续性计划时,需要考虑几个问题,比如恢复时间目标(RTO),即业务运营最长在多少时间内必须恢复正常,比如恢复点目标(RPO),即需要回溯到多久之前以取回仍然可用的数据。他说:“计算RTO有助于确定公司在无法访问数据的情况下最多能运营多长时间。另外,确定RPO后,你可以确定需要对数据进行备份的频次。”
与双重勒索有关的损失
一个特别令人不安的动向是,勒索软件团伙已在锁住受害者组织的系统前,开始窃取大量的敏感数据,然后将这些窃取而来的数据作为另外的筹码以勒索赎金。如果受害者拒不支付,攻击者就通过专门设立的暗网来泄露数据。
日本《日经新闻》与趋势科技联合开展的一项调查发现,仅2020年头10个月,全球超过1000家组织沦为了这种双重勒索攻击的受害者。据称,这种攻击手法的始作俑者是Maze勒索软件背后的黑客,但随后众多团伙纷纷仿而效之,包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索软件团伙。上个季度Coveware响应的勒索软件事件中70%涉及数据窃取。
Acronis的网络防护研究副总裁Candid Wuest说:“事实上,如今许多勒索软件团伙先窃取数据后加密数据,加大了数据泄露的风险。这意味着即便没有任何严重的宕机就能恢复系统,公司也更有可能需要承担所有的相关损失,比如品牌受损、法务费用、监管部门罚款和数据泄露清理服务费。”
这个趋势已颠覆了与勒索软件攻击有关的传统估算方法。即使有再好的数据备份和恢复流程,如今勒索软件受害者也必须面对这种可能性:敏感数据被公开披露,或者被卖给竞争对手。Digital Shadows的高级网络威胁情报分析师Xue Yin Peh认为,勒索软件攻击的受害者可能不得不承受监管机构实施的经济惩罚。按照欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)和《健康保险可携性及责任性法案》(HIPAA)等监管法规,发布和泄露从受害者窃取的数据构成数据泄露事件。
Peh特别指出:“受害者还可能面临第三方索赔或集体诉讼带来的法律后果。”如果攻击者窃取和发布的数据涉及其他组织,比如第三方数据文件或客户数据,面临这类麻烦的可能性随之加大。“如果消费者数据被泄露,相应公司就要准备承受泄露数据的成本。网络保险费也可能因勒索软件攻击而上涨。”
IT升级成本
勒索软件攻击结束后,组织有时不仅会低估响应攻击事件的成本,还会低估保护网络免受后续攻击的成本。如果组织以为最佳选择就是向攻击者乖乖支付赎金,更是如此。
SentinelOne的SentinelLabs主管Migo Kedem说:“即使支付了赎金,确保被感染机器已解除威胁,受害者也无法保证攻击者不会再闯入其企业。”受害者无法确保攻击者没有在其系统上植入更多的恶意软件,也无法确保攻击者没有将非法访问权出售或转让给另一个犯罪团伙。谁也无法保证:一旦拿到了赎金,攻击者就会清理机器上的恶意软件、删除盗取的数据或交出受害者网络的访问权。
为了缓解进一步的攻击,组织常常必须升级基础设施,并实施更有效的控制措施。Kedem说:“受害者没有考虑到一些隐性成本,即保护网络免遭进一步攻击所必需的事件响应和IT升级成本。”
支付赎金引起的损失上升
许多公司支付赎金,以为这比从头开始恢复数据来得省钱。不过安全专家表示,这是一大错误。Sophos去年开展的调查显示,四分之一以上(26%)的勒索软件受害者向攻击者支付赎金后拿回了数据。另有1%同样支付了赎金,却终究未能拿回数据。
Sophos发现,相比未支付赎金的受害者,支付赎金的受害者最终支付了高出一倍的攻击相关损失。对确实支付赎金的企业而言,勒索软件攻击造成的平均损失约140万美元,包括宕机、设备及网络修复和恢复成本、工时、机会成本和支付的赎金,而未支付赎金的企业其平均损失约73.3万美元。
Sophos发现,原因在于,受害者仍需要做大量的工作来恢复数据。据该公司声称,无论组织从备份恢复数据,还是用攻击者提供的解密密钥恢复数据,与恢复数据、回归常态有关的成本大致一样。所以,支付赎金等于额外又增添了这些成本。
声誉受损造成的损失
勒索软件攻击会降低消费者的信任和信心,导致组织流失客户和生意。去年Arcserve针对美国、英国及其他国家的近2000名消费者进行了调查,结果发现28%的受访者表示,如果遇到过哪怕一次的服务中断或数据无法访问,自己就会转向另外的品牌。九成以上(94%)的受访者表示,他们在购买产品或服务前会考虑组织的信誉度;59%表示,他们会避免与过去一年遇到过网络攻击的公司打交道。
近期出现了一个自称是“分布式拒绝秘密”(Distributed Denial of Secrets)的举报组织,许多组织可能很快更难低调处理数据泄露事件了。该组织仿照维基解密网站(WikiLeaks),声称已收集了勒索软件攻击者在网上泄露的大量数据,声称它会以信息透明的名义公布这些数据。这家组织已发布了属于多家公司的数据,它声称是从泄露所窃取数据的勒索软件团伙使用的网站和论坛获得这些数据的。