UnitedHealthServices(UHS)去年因勒索软件攻击遭受了6700万美元的最终损失!2020年9月的一次攻击使其网络瘫痪。虽然没有多少组织能够实现如此高的损失,但这是过去两年勒索软件攻击如何开始对受害者造成越来越大的经济损失的典型例子。一直在跟踪勒索软件攻击趋势的安全专家指出了导致与勒索软件攻击相关的成本上升的几个因素,尤其是对于医疗保健行业的组织而言。最明显的因素之一是攻击者要求受害者支付的平均赎金数额增加。网络保险公司Coalition分析了保单持有人去年的索赔数据,发现攻击者要求的平均赎金从2020年第一季度的230,000美元跃升至2020年第二季度的338,669美元,增幅达47%。一些攻击者要求受害者平均支付420,000美元的赎金,例如Maze勒索软件背后的组织。Coveware研究发现,实际支付的勒索软件赎金也猛增,从2019年第四季度的84,000美元增加到2020年第三季度的233,817多美元。但是,赎金本身只是总损失的一小部分,拒绝支付赎金通常不是组织的选择。对于被攻击的组织来说,攻击损失在过去两年左右的时间里一直在稳步增加。根据安全专家的说法,以下是发生这种情况的五个最常见原因。宕机成本宕机即使不是勒索软件攻击的最大成本,也是其中之一。勒索软件攻击后,受害者通常会花费数天,有时甚至数周时间来恢复他们的系统。在此期间,正常服务可能会受到严重干扰,导致业务损失、机会损失、客户忠诚度低下、服务水平协议(SLA)未履行、品牌受损以及许多其他问题。例如,UHS的大部分损失与收入减少有关,原因是无法像往常一样提供患者护理,再加上账单延误。这类问题可能更为严重。最近几个月,犯罪分子开始攻击运营技术网络,试图最大限度地延长受害者的停机时间并增加支付赎金的压力。这方面的一个例子是今年早些时候对包装巨头WestRockCompany的攻击,这影响了其几家制造和加工厂的运营。本田在2020年遭受了类似的攻击,暂时中断了该汽车制造商在日本以外的几家工厂的运营。在Vail去年委托对近2,700名IT专业人员进行的一项调查中,三分之二的受访者估计,他们的组织至少需要五天时间才能从勒索软件攻击中恢复过来。另一份Coveware报告估计平均停机时间要长得多,估计2020年第四季度平均停机时间为21天。2020年的勒索软件攻击比上一年高出整整93%。“停机成本通常比赎金本身高得多,”他说。“停机成本正在迅速上升,我们必须认真审视猖獗的勒索软件攻击。”根据该公司的数据,勒索软件攻击造成的宕机损失平均超过274,200美元,远高于平均赎金要求。Weeks说,这导致许多组织简单地支付攻击者的要求。“例如,2018年,佐治亚州亚特兰大遭受了勒索软件攻击,该市为此损失了超过1700万美元,”他说。“然而,赎金本身只有区区51,000美元。”一个深思熟虑的网络弹性战略和业务连续性计划。当一个组织在考虑业务连续性计划时,需要考虑几个问题,例如恢复时间目标(RTO),即业务运营最长必须在多长时间内恢复正常,例如恢复点目标(RPO),即需要返回多长时间才能检索到仍然可用的数据。“计算RTO有助于确定公司在不访问数据的情况下可以运营的最长时间。此外,通过确定RPO,您可以确定数据需要备份的频率,”他说。与双重勒索相关的损失一在一个特别令人不安的发展过程中,勒索软件团伙开始窃取大量敏感数据,然后锁定受害组织的系统,然后使用窃取的数据作为勒索赎金的额外筹码。如果受害者拒绝付款,攻击者就会通过专门构建的暗网泄露数据。日本和趋势科技联合进行的一项调查发现,仅在2020年前10个月,全球就有超过1000家组织成为这种双重勒索攻击的受害者。据称,这次攻击是由Maze勒索软件背后的黑客发起的,但此后许多其他组织也紧随其后,包括Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索软件团伙。Coveware在上个季度响应的勒索软件事件中有70%涉及数据盗窃。Acronis网络保护研究副总裁CandidWuest表示:“如今许多勒索软件团伙首先窃取数据,然后对其进行加密,这一事实增加了数据泄露的风险。”公司也更有可能承担所有相关费用,例如品牌损害、法律费用、监管罚款和数据泄露清理服务费用。”这种趋势颠覆了与勒索软件攻击相关的传统估计方法。即使有最好的数据备份和恢复流程,今天的勒索软件受害者也必须面对敏感数据被公开披露或出售给竞争对手的可能性。DigitalShadows高级网络威胁情报分析师XueYinPeh认为,勒索软件攻击的受害者可能不得不忍受监管机构施加的经济处罚。根据欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)和《健康保险可携性及责任性法案》(HIPAA)等法规,发布和泄露从受害者那里窃取的数据构成数据泄露。“受害者还可能面临第三方索赔或集体诉讼的法律后果,”Peh指出。如果攻击者窃取和发布的数据涉及其他组织,例如第三方数据文件或客户数据,则可能会面临这样的麻烦。性相应增加。“如果消费者数据遭到泄露,公司需要准备好承担泄露数据的成本。由于勒索软件攻击,网络保险费也会上涨。”IT升级成本在勒索软件攻击结束后,组织有时不仅低估了响应攻击成本的成本,而且低估了保护网络免受后续攻击的成本。如果组织认为最好的选择是向攻击者支付赎金,则尤其如此。SentinelOne的SentinelLabs主管MigoKedem表示:“即使支付赎金以确保被感染的机器被无效化,受害者也无法保证攻击者不会再次闯入他们的企业。”没有办法确保攻击者不会向另一个犯罪集团出售或转让非法访问权限。没有任何保证:支付赎金后,攻击者将清除机器中的恶意软件、删除被盗数据或放弃对受害者网络的访问权限。为了减轻进一步的攻击,组织通常必须升级基础设施并实施更有效的控制。“受害者不会考虑一些隐藏的成本,即保护网络免受进一步攻击所必需的事件响应和IT升级,”Kedem说。支付赎金造成的损失增加许多公司认为支付赎金比从头开始恢复数据更好来省钱。但安全专家表示这是一个大错误。根据Sophos去年进行的一项调查,超过四分之一(26%)的勒索软件受害者向攻击者支付了赎金以取回他们的数据。另有1%也支付了赎金,但终究没能取回数据。Sophos发现,支付赎金的受害者最终支付的与攻击相关的损失是未支付赎金的受害者的两倍。对于确实支付了赎金的公司,勒索软件攻击造成的平均损失约为140万美元,包括停机时间、设备和网络维修和恢复成本、工时、机会成本和支付的赎金,而支付赎金的公司的平均损失为未支付的赎金为140万美元。损失约为733,000美元。Sophos发现,原因在于受害者仍然需要做大量工作才能恢复数据。据该公司称,无论组织是从备份中恢复数据还是使用攻击者提供的解密密钥恢复数据,与恢复数据和恢复正常相关的成本大致相同。因此,支付赎金会增加这些成本。声誉受损造成的损失勒索软件攻击会降低消费者的信任和信心,导致组织失去客户和业务。去年,Arcserve对美国、英国和其他国家/地区的近2,000名消费者进行了调查,发现28%的受访者表示,即使遇到一次服务中断或数据无法访问,他们也会换用另一个品牌。.超过十分之九(94%)的受访者表示,他们会在购买产品或服务之前考虑组织的信誉;59%的受访者表示,他们会避免与过去一年遭受过网络攻击的公司打交道。随着最近出现一个自称为分布式拒绝机密的举报组织,许多组织可能很快就更难在数据泄露问题上保持低调。该组织以维基解密为蓝本,声称收集了勒索软件攻击者在线泄露的大量数据,并表示将以透明的名义发布这些数据。该组织发布了属于多家公司的数据,声称这些数据是从泄露被盗数据的勒索软件团伙使用的网站和论坛中获得的。
