2021年,勒索软件的祸害将达到前所未有的高度。勒索软件攻击团伙往往会索要数百万美元的巨额赎金,而且往往得逞。去年6月,全球最大的肉类加工公司JBS证实,由于勒索软件扰乱运营,它已向攻击者支付了相当于1100万美元的赎金。2021年5月,ColonialPipeline向勒索软件攻击者支付了443万美元,但美国司法部(DOJ)在随后的行动中没收了其中的230万美元。同样在5月,备用设备供应商ExaGrid因遭到Conti勒索软件攻击而向网络犯罪分子支付了260万美元的赎金。但与勒索软件攻击的实际成本(例如收入损失)相比,赎金不算什么。大多数私营公司都可以隐藏勒索软件攻击的成本,甚至是攻击本身,这就是为什么上周立法要求所有公司报告赎金支付的原因。另一方面,上市公司有义务向美国证券交易委员会(SEC)报告任何实际影响其运营的网络事件,包括勒索软件攻击。大多数在美国证券交易委员会注册的上市公司都通过提交8-K来履行这一义务。(注:美国证券交易委员会正在制定一项计划,要求所有上市公司:一旦注册人确定该公司经历了重大网络安全事件,必须在四天内向美国证券交易委员会报告。)在仔细审查美国证券交易委员会的8-K文件后网络安全媒体CSO发现,在2020年至2021年间,有30家上市公司报告了勒索软件事件,支付了与勒索软件相关的费用,或收到了与勒索软件相关的保险索赔。虽然这些文件中的大多数要么认为勒索软件攻击无关紧要,要么缺乏详细说明事件处理成本所需的财务数据,但有7份文件记录了足够的成本数据,可以让我们一窥勒索软件事件可能造成的损失有多大。七个相关案例的简要说明1.媒体和广播巨头SinclairBroadcastGroup在2021年10月报告了一起勒索软件事件。Sinclair表示没有支付赎金,并且能够从备份中恢复网络,但一些中断影响了收入和花费。这一事件使广播部门在第四季度损失了6300万美元的广告收入,修复费用为1100万美元。在获得保险赔偿后,该公司估计网络事件造成了约2400万美元的无法弥补的净损失。然而,由于复苏的细节仍未确定,这一估计可能会增加。2.Blackbaud,Inc2020年5月,云科技公司Blackbaud遭到勒索软件攻击,但该公司成功阻止了攻击者中断其系统访问,粉碎了攻击者对其文件进行全面加密的意图,最终将攻击者从其系统中移除。被系统驱逐。然而,攻击者删除了其自托管私有云环境中的部分数据副本,Blackbaud仍需支付攻击者索要的赎金。2020年,Blackbaud发生了1040万美元的安全事件相关费用,抵消了940万美元的保险索赔。大约有570份来自客户或律师的活动相关费用报销申请。2021年7月,法院允许诉讼继续进行。2022年2月,Blackbaud签订了一项信贷协议,预计与数据泄露和勒索软件攻击相关的非经常性法律费用高达5000万美元。3.2021年1月23日,差异化纸张和包装解决方案提供商WestRockCompany遭到勒索软件攻击,IT和运营技术系统遭到破坏。该公司声称,2021年第二季度的销售损失和运营中断使净销售额减少了1.89亿美元,部门收入减少了8000万美元。WestRock还表示,该事件导致大约2000万美元的勒索软件恢复成本,主要是专业费用。WestRock预计未来将通过网络和业务中断保险来挽回勒索软件损失。4.RadiantLogistics2021年12月8日,这家物流和多式联运公司遭到勒索软件攻击,其运营和IT系统遭到破坏。Radiant表示,该事件导致公司12月份的收入损失和成本增加,预计将对公司2022财年第二季度的业绩产生不利影响。该公司指出,攻击者提取了有关其客户的数据在公司将其各种系统离线之前,公司服务器上的员工。该公司正在积极联系可能受到这些事件影响的用户。Radiant在详细介绍其2021年全年财务状况时表示,12月份与勒索软件相关的事件造成750,000美元的损失,其中包括第三方取证专家和其他IT专业费用、法律费用以及增加的加班费和员工相关费用。5.MineralTechnologies2020年10月26日,矿产科技公司遭到Egregor勒索软件攻击。Mineral表示,在2020财年发生勒索软件攻击后,该公司在系统恢复和风险缓解方面产生了400万美元的成本。6.电子工程公司BenchmarkElectronics最初报告了2019年11月5日的勒索软件攻击,导致客户和员工暂时无法访问其系统和服务。受此次攻击影响,公司在2019财年支付了768.1万美元的勒索软件事件相关费用。截至2021年底,估计已获得保险赔偿,BenchmarkElectronics补足了其中的398.9万美元。7.业务流程外包解决方案提供商ALJRegional的子公司Faneuil于2021年8月18日检测到勒索软件攻击,Faneuil展开调查并聘请法律顾问和其他事件响应专业人员,实施了一系列遏制和补救措施以缓解这种情况,并通过主要网络安全公司保护其信息技术系统。由于该事件,法尼尔支付了大约280万美元的费用和罚款。Faneuil确认其应获得190万美元的保险赔偿,并已收到130万美元的保险赔付。剩余的保险金预计将在2022年3月31日之前支付。勒索软件缓解过程纠正技术债务RecordedFuture情报分析师AllanLiska告诉媒体:“恢复过程中有很多我们通常不会考虑的成本。只要因为你不打算不支付赎金,所以你必须恢复所有机器。所以你必须准备好,事件响应费用以及随之而来的一切。你认为这可能是数百万美元。但有一个还有很多应该添加到其中,比如Blackbaud遭受的巨额法律费用。Liska补充说:“应该计入勒索软件恢复成本的另一笔大费用是在勒索软件缓解过程中增加的技术债务:本应完成但没有完成的项目多年来一直坐在次要位置。我们应该在两年前就完成了多因素身份验证。现在,在勒索软件攻击之后,我们终于可以开始工作了。勒索软件攻击后,开辟安全预算几乎是家常便饭,而这笔钱肯定是从其他地方来的,本来就不属于安全预算的。所以,就像天地大挪移一样,最终算作勒索费用。”
