United Health Services(UHS)去年勒索软件攻击造成的最终损失高达6700万美元!2020年9月的一次攻击导致其网络瘫痪。虽然很少有组织能够实现如此高的损失,但这是一个典型的案例,表明勒索软件攻击在过去两年中开始给受害者造成越来越严重的经济损失。
一直在跟踪和分析勒索软件攻击趋势的安全专家指出,医疗保健行业组织的几个因素导致了与勒索软件攻击相关的损失。最明显的因素之一是攻击者向受害者索要的平均赎金额正在上升。
网络保险公司Coalition去年分析了投保人的索赔数据,结果发现攻击者索要的平均赎金从2020年第一季度的230000美元,猛增至2020年第二季度的338669美元,增幅高达47%。一些攻击者向受害者索要的平均赎金为420000美元,比如Maze勒索软件背后的团伙。Coveware研究发现,实际支付的勒索软件赎金也从2019年第四季度的8.4万美元飙升至2020年第三季度的233817多美元。
然而,赎金本身只是总损失的一小部分,拒绝支付赎金往往不是组织的首选。对于受攻击的组织来说,攻击损失在过去两年左右稳步增加。根据安全专家的说法,以下五个最常见的原因可以解释为什么会发生这种情况。
宕机损失
即使停机不是勒索软件攻击造成的最大损失,也至少是最大损失之一。在被勒索软件攻击后,受害者通常需要几天、有时甚至几周的时间来恢复系统。在此期间,普通服务可能会受到严重干扰,导致业务损失、机会损失、客户青睐、服务水平协议(SLA)无法履行、品牌损坏等诸多问题。例如,由于患者护理服务无法正常提供,加上费用延迟,UHS大部分损失与收入减少有关。
这类问题甚至可能更严重。近几个月来,犯罪分子开始攻击运营技术网络,试图延长受害者的停机时间,增加压力,迫使对方支付赎金。包装巨头今年早些时候WestRock Company攻击就是一个例子,影响了公司旗下多家厂家和加工厂的运营。2020年,本田遭到类似攻击,汽车制造商在日本境外几家工厂暂时中断运营。
去年,维尔公司委托第三方接近2700IT专业人士进行了一项调查,三分之二的受访者估计,该组织至少需要五天的时间才能恢复正常。Coveware另一份报告估计平均停机时间要长得多,估计2020年第四季度平均停机21天。
Datto首席信息安全官Ryan Weeks表示,该公司去年开展的调查显示,2020年与勒索软件攻击有关的宕机造成的平均损失比前一年整整高出了93%。他说:“停机造成的损失往往远高于赎金本身。停机损失迅速上升,我们不得不认真对待猖獗的勒索软件攻击。”
该公司的数据显示,勒索软件攻击引起的停机平均损失超过274200美元,远高于索要的平均赎金。Weeks这导致许多组织根据攻击者的要求支付赎金。“例如,2018年,佐治亚州亚特兰大遭遇勒索软件攻击,该市花费了1700多万美元才恢复。然而,赎金本身只有5.1万美元。”
Weeks这些数据表明,组织需要有一个全面的网络弹性策略和业务连续性计划。在考虑业务连续性计划时,组织需要考虑几个问题,如恢复时间目标(RTO),也就是说,业务运营必须在多长时间内恢复正常,如恢复点目标(RPO),也就是说,回收仍然可用的数据需要多长时间。“计算RTO在不能访问数据的情况下,确定公司最多能运行多长时间。另外,确定RPO之后,您可以确定需要备份数据的频率。”
与双重勒索有关的损失
一个特别令人不安的趋势是,勒索软件团伙在锁定受害者组织的系统之前,开始窃取大量的敏感数据,然后这些数据作为其他筹码来勒索赎金。如果受害者拒绝支付,攻击者将通过专门设置的暗网泄露数据。
日本《日经新闻》与趋势科技联合进行的一项调查发现,仅2020年头10个月,全球就有1000多个组织成为这种双重勒索攻击的受害者。据说这种攻击手法的始作俑者是Maze勒索软件背后的黑客,但后来很多团伙纷纷效仿,包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等待勒索软件团伙。Coveware70%的勒索软件事件涉及数据窃取。
Acronis网络防护研究副总裁Candid Wuest说:“事实上,许多勒索软件团伙在加密数据之前窃取数据,这增加了数据泄露的风险。这意味着,即使没有严重的停机,公司也更有可能承担品牌损坏、法律费用、监管机构罚款和数据泄露清理服务费等所有相关损失。”
这一趋势颠覆了与勒索软件攻击相关的传统估计方法。即使有最好的数据备份和恢复过程,勒索软件的受害者也必须面对公开披露或出售给竞争对手的可能性。Digital Shadows高级网络威胁情报分析师Xue Yin Peh勒索软件攻击的受害者可能不得不受到监管机构的经济惩罚。根据《欧盟通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)健康保险可携性和责任法案(HIPAA)发布和泄露受害者窃取的数据构成数据泄露事件。
Peh特别指出:“受害者也可能面临第三方索赔或集体诉讼的法律后果。”如果攻击者窃取和发布的数据涉及其他组织,如第三方数据文件或客户数据,则更有可能面临此类麻烦。“如果消费者数据被泄露,相应的公司将准备承担泄露数据的成本。由于勒索软件攻击,网络保险费也可能上涨。”
IT升级成本
勒索软件攻击结束后,组织有时不仅会低估响应攻击的成本,还会低估保护网络免受后续攻击的成本。如果组织认为最好的选择是向攻击者支付赎金,那就更重要了。
SentinelOne的SentinelLabs主管Migo Kedem说:“即使支付赎金,确保被感染机器解除威胁,受害者也不能保证攻击者不会再闯入其企业。”受害者不能保证攻击者没有在其系统上植入更多的恶意软件,也不能保证攻击者没有出售或转让非法访问权到另一个犯罪团伙。没有人能保证,一旦获得赎金,攻击者将清理机器上的恶意软件,删除被盗数据或交出受害者网络的访问权。
为了缓解进一步的攻击,组织常常必须升级基础设施,并实施更有效的控制措施。Kedem说:“受害者没有考虑到保护网络免受进一步攻击所需的事件响应和一些隐性成本IT升级成本。”
支付赎金造成的损失增加
许多公司支付赎金,以为这比从头开始恢复数据来得省钱。不过安全专家表示,这是一大错误。Sophos去年的调查显示,超过四分之一(26%)的勒索软件受害者在向攻击者支付赎金后收回了数据。另外1%也支付了赎金,但最终未能收回数据。
Sophos发现,与未支付赎金的受害者相比,支付赎金的受害者最终支付了两倍以上的攻击相关损失。对于真正支付赎金的企业,勒索软件攻击造成的平均损失约为140万美元,包括停机、设备和网络和恢复成本、工作时间、机会成本和赎金,而未支付赎金的企业的平均损失约为73.3万美元。
Sophos原因是受害者仍然需要做大量的工作来恢复数据。该公司声称,组织从备份恢复数据或攻击者提供的解密钥恢复数据的成本与恢复数据和恢复正常状态大致相同。因此,支付赎金等于增加成本。
声誉损失造成的损失
勒索软件攻击会降低消费者的信任和信心,导致组织失去客户和业务。Arcserve调查了近2000名其他国家近2000名消费者,发现28%的受访者表示,即使服务中断或数据无法访问,他们也会转向其他品牌。超过90%(94%)的受访者表示,在购买产品或服务之前,他们会考虑组织的声誉;59%表示,他们将避免与去年遇到网络攻击的公司打交道。
最近出现了一个自称是“分布式拒绝秘密”(Distributed Denial of Secrets)对于举报组织,许多组织可能地处理数据泄露事件。该组织模仿维基解密网站(WikiLeaks),声称已收集了勒索软件攻击者在网上泄露的大量数据,声称它会以信息透明的名义公布这些数据。这家组织已发布了属于多家公司的数据,它声称是从泄露所窃取数据的勒索软件团伙使用的网站和论坛获得这些数据的。