2021年,勒索软件祸害直冲前所未有的高度,勒索软件攻击团伙往往索要数百万美元之巨的赎金,并且很多时候都能得逞。去年6月,全球最大肉类加工企业JBS证实,因勒索软件干扰运营,已向攻击者支付相当于1100万美元的赎金。
2021年5月,Colonial Pipeline给勒索软件攻击者打钱443万美元,不过,在随后的行动中,美国司法部(DOJ)没收了其中230万美元。同样是在5月,因遭受Conti勒索软件滋扰,备份设备供应商ExaGrid向网络犯罪团伙支付了260万美元赎金。
但是,赎金什么的,在收入损失等勒索软件攻击造成的实际成本面前,还只算得上小巫见大巫。对于大多数私营公司而言,勒索软件攻击的成本,甚至攻击本身,都可以隐而不现,这也是上周立法规定所有公司都必须报告赎金支付情况的缘由所在。
另一方面,上市公司则有义务向美国证券交易委员会(SEC)报告对其运营造成实际影响的任何网络事件,包括勒索软件攻击。在SEC注册的大多数上市企业通过填报8-K报表来履行这一义务。(注意:SEC正在制定计划,要求所有上市公司:一旦注册人确定公司经历了重大网络安全事件,必须在四天内上报SEC。)
网络安全媒体CSO仔细查阅SEC的8-K文件之后发现,2020年和2021年期间,有30家上市公司报告了勒索软件事件、支付了勒索软件相关费用,或者收到勒索软件相关的保险赔偿。尽管这些文件大多认定勒索软件攻击非重大级别,或者缺乏详细说明事件处理成本所需的财务数据,但有七份文件记录了足够的成本数据,可供一窥勒索软件事件的成本可能有多高。
七个相关案例简述
1. Sinclair Broadcast Group
这家媒体和广播巨头报告称2021年10月遭遇了勒索软件事件。Sinclair表示自己并未支付赎金,能够依靠备份恢复网络,但发生的一些中断影响了收入和费用。该事件导致广播部门第四季度广告收入损失6300万美元,修复成本为1100万美元。得到保险赔偿后,该公司估算此次网络事件造成大约2400万美元无法挽回的净损失。不过,由于恢复细节仍未确定,这一估计数据可能还会增加。
2. Blackbaud, Inc
2020年5月,云技术公司Blackbaud遭到勒索软件攻击,但该公司成功阻止了攻击者中断其系统访问,并粉碎了攻击者完全加密其文件的意图,最终将攻击者从其系统中驱逐了出去。然而,攻击者删除了其自托管私有云环境中的部分数据副本,Blackbaud还是不得不支付了攻击者索要的赎金。
2020年,Blackbaud的安全事件相关费用为1040万美元,抵消了940万美元的保险赔偿。来自客户或律师的事件相关费用报销索赔大约有570份。2021年7月,法院批准这些诉讼继续进行。2022年2月,Blackbaud签订了一份信贷协议,预计与数据泄露和勒索软件攻击相关的非经常性法律费用高达5000万美元。
3. WestRock Company
2021年1月23日,这家差异化纸张与包装解决方案提供商遭到勒索软件攻击,致使IT和运营技术系统中断。该公司声称,2021年第二季度的销售损失和运营中断造成净销售额减少1.89亿美元,部门收入减少8000万美元。WestRock还表示,事件产生了大约2000万美元的勒索软件恢复成本,主要是支付专业费用。WestRock预计未来将通过网络和业务中断保险挽回勒索软件损失。
4. Radiant Logistics
2021年12月8日,这家物流和多式联运公司遭到勒索软件攻击,运营和IT系统受损。Radiant表示,该事件导致公司12月份营收损失和成本增加,预计将对公司2022财年第二季度的业绩产生不利影响。
该公司指出,在公司下线各个系统之前,攻击者从公司服务器上提取了其客户和员工的相关数据。公司正积极联系可能受这些事件影响的用户。在详细介绍其2021年全年财务数据时,Radiant表示,12月勒索软件相关事件成本为75万美元,其中包括第三方取证专家和其他IT专业费用、法律费用以及增加的加班费和员工相关费用。
5. Mineral Technologies
2020年10月26日,这家矿物技术公司遭到Egregor勒索软件攻击。Mineral表示,2020财年遭遇勒索软件攻击后,公司在系统恢复和风险缓解方面产生了400万美元的费用。
6. Benchmark Electronics
这家电子工程公司最初于2019年11月5日报告称遭到勒索软件攻击,攻击导致客户和员工一度无法访问其系统和服务。受攻击影响,该公司2019财年支付了768.1万美元的勒索软件事件相关费用。到2021年底,大概是获得了保险赔偿,Benchmark Electronics补上了其中398.9万美元。
7. Faneuil
身为ALJ Regional的子公司,这家业务流程外包解决方案提供商于2021年8月18日检测到勒索软件攻击。Faneuil展开调查并聘请法律顾问和其他事件响应专业人员,实施了一系列遏制和补救措施来缓解事态,并通过主流网络安全公司加强其信息技术系统安全。受此事件影响,Faneuil付出了大约280万美元的费用和罚款。Faneuil确认应获得190万美元保险追偿,目前收到130万美元保险赔付。余下的保险赔偿款预计在2022年3月31日之前付清。
勒索软件缓解过程矫正技术债务
Recorded Future情报分析师Allan Liska向媒体透露:“恢复过程中有很多我们通常考虑不到的费用。只要不打算不支付赎金,就必须恢复所有机器。因此,你得准备好面对事件响应开支和随之而来的一切费用。你觉得这可能就是几百万美元。但是,除此之外,应该计入其中的费用还有很多,比如Blackbaud遭遇的巨额法律费用。”
Liska补充道:“另一项应该计入勒索软件恢复费用的大笔开支,是勒索软件缓解过程中补上的技术债务:那些应该实现但却搁置多年的项目。我们两年前就应该实现多因素身份验证了。现在,经历勒索软件攻击之后,我们总算能开工了。经历勒索软件攻击之后开放安全预算几乎成了常规,而这些钱势必来自别的地方,不属于原先的安全预算。于是,跟乾坤大挪移似的,最终算成了勒索软件费用。”