Jaikumar Vijayan 沈建苗
United Health Services(UHS)去年承受勒索软件攻击所导致的最终损失高达6700万美元!2020年9月的一起攻击导致其网络瘫痪。尽管能达到如此高额损失的组织为数并不多,但是,它却是一个典型案例,表明勒索软件攻击在过去两年已开始给受害者造成越来越严重的经济损失。
一直跟踪分析勒索软件攻击趋势的安全专家指出,几个因素导致与勒索软件攻击有关的损失不断上升,对于医疗保健行业的组织而言更是如此。其中一个最明显的因素就是,攻击者向受害者索要的平均赎金数额在上涨。
网络保险公司Coalition去年分析了投保人的索賠数据,结果发现攻击者索要的平均赎金从2020年第一季度的230000美元,猛增至2020年第二季度的338669美元,增幅高达47%。一些攻击者向受害者索要的平均赎金为420000美元,比如Maze勒索软件背后的团伙。Coveware的研究发现,实际支付的勒索软件赎金也直线上升,从2019年第四季度的84000美元,飙升至2020年第三季度的逾233817美元。
然而,赎金本身只是总损失的一小部分,拒不支付赎金对组织而言常常不是首选项。对受到攻击的组织来说,攻击损失在过去两年左右的时间中稳步增加。据安全专家们声称,以下这五个最常见的原因可以解释为什么会出现这种情况。
宕机就算不是勒索软件攻击造成的最大损失,至少也是最大损失之一。遭到勒索软件攻击之后,受害者常常要花数天、有时乃至数周的时间来恢复系统。而在此期间,平常的服务可能受到严重干扰,导致业务流失、失去机会造成的损失、客户好感度下降、服务级别协议(SLA)无法履行、品牌受损以及其他一大堆问题。比如说,由于无法正常提供患者护理服务,加上计费延迟,UHS的损失大部分与收入减少有关。
这类问题甚至可能更严重。近几个月来,不法分子已开始攻击运营技术网络,企图尽量延长受害者的宕机时间,并加大压力以迫使对方支付赎金。今年早些时候包装巨头WestRock Company遭遇攻击就是一个例子,该公司旗下的多家制造厂和加工厂的运营因而受到了影响。本田公司在2020年遭到了一起类似的攻击,这家汽车制造商在日本境外的几家工厂出现了运营暂时中断。
维尔公司去年委托第三方对近2700名IT专业人士开展了一项调查,三分之二的受访者估计,遭到勒索软件攻击后,所在组织至少要花五天的时间才能恢复正常。Coveware的另一份报告估计平均宕机时间要长得多,估计2020年第四季度平均宕机21天。
Datto的首席信息安全官Ryan Weeks表示,该公司去年开展的调查显示,2020年与勒索软件攻击有关的宕机造成的平均损失比前一年整整高出了93%。他说:“宕机造成的损失常常比赎金本身高得多。宕机损失迅速上涨,我们不得不认真看待猖獗的勒索软件攻击。”
该公司的数据显示,勒索软件攻击引起的宕机造成的损失平均超过274200美元,比索要的平均赎金高得多。Weeks表示,这就导致许多组织忍不住干脆按攻击者的要求支付赎金。他说:“比如在2018年,佐治亚州亚特兰大市遭遇勒索软件攻击,该市花费了逾1700万美元才恢复过来。然而,赎金本身只有区区51000美元。”
Weeks表示,这些数据表明,组织需要有一项考虑周全的网络弹性策略和业务连续性计划。组织在考虑业务连续性计划时,需要考虑几个问题,比如恢复时间目标(RTO),即业务运营最长在多少时间内必须恢复正常,比如恢复点目标(RPO),即需要回溯到多久之前以取回仍然可用的数据。他说:“计算RTO有助于确定公司在无法访问数据的情况下最多能运营多长时间。另外,确定RPO后,你可以确定需要对数据进行备份的频次。”
一个特别令人不安的动向是,勒索软件团伙已在锁住受害者组织的系统前,开始窃取大量的敏感数据,然后将这些窃取而来的数据作为另外的筹码以勒索赎金。如果受害者拒不支付,攻击者就通过专门设立的暗网来泄露数据。
日本《日经新闻》与趋势科技联合开展的一项调查发现,仅2020年头10个月,全球超过1000家组织沦为了这种双重勒索攻击的受害者。据称,这种攻击手法的始作俑者是Maze勒索软件背后的黑客,但随后众多团伙纷纷仿而效之,包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索软件团伙。上个季度Coveware响应的勒索软件事件中70%涉及数据窃取。
Acronis的网络防护研究副总裁Candid Wuest说:“事实上,如今许多勒索软件团伙先窃取数据后加密数据,加大了数据泄露的风险。这意味着即便没有任何严重的宕机就能恢复系统,公司也更有可能需要承担所有的相关损失,比如品牌受损、法务费用、监管部门罚款和数据泄露清理服务费。”
这个趋势已颠覆了与勒索软件攻击有关的传统估算方法。即使有再好的数据备份和恢复流程,如今勒索软件受害者也必须面对这种可能性:敏感数据被公开披露,或者被卖给竞争对手。Digital Shadows的高级网络威胁情报分析师Xue Yin Peh认为,勒索软件攻击的受害者可能不得不承受监管机构实施的经济惩罚。按照欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)和《健康保险可携性及责任性法案》(HIPAA)等监管法规,发布和泄露从受害者窃取的数据构成数据泄露事件。
Peh特别指出:“受害者还可能面临第三方索赔或集体诉讼带来的法律后果。”如果攻击者窃取和发布的数据涉及其他组织,比如第三方数据文件或客户数据,面临这类麻烦的可能性随之加大。“如果消费者数据被泄露,相应公司就要准备承受泄露数据的成本。网络保险费也可能因勒索软件攻击而上涨。”