2021年6月,在针对美国企业遭遇勒索软件攻击后要不要支付赎金的问题上,美国联邦调查局给出的建议和呼吁是——企业不应(向攻击者)支付赎金,其理由很简单,那就是支付赎金会助长攻击者的气焰,并会刺激他们不断地去发动新的攻击。
我们关注到,咨询公司CyberEdge Group于近期发布的网络威胁防御报告中的数据显示,在其调查的样本中,2021年有63%的组织选择了支付赎金。
为什么会有越来越多的企业选择支付赎金?
为什么一面是明知道支付赎金相当于是在纵容攻击者的非法行为,另一面却老老实实的拱手将赎金奉上呢?这其中的理由并不难想象,无非是以下几点:
1、避免业务中断以及因其所引发的一系列后果出现。包括生产无法继续、服务无法提供等导致与客户相关的业务、服务受损;
2、避免在勒索软件攻击事件过程中被窃取的数据被攻击者泄露,以及因相关政策性合规风险所导致的天价罚单;
3、在经过内部评估后,支付赎金的成本显著低于系统宕机、业务中断以及其他潜在的损失。
尽管我们认为在遭受攻击后选择不支付赎金是一种正确的做法,但也不得不承认这确实是较为理想化的结果,此前就有业内人士指出,让遭受勒索软件攻击的受害组织不支付赎金的想法过于片面,毕竟这些组织并不是傻瓜,也会根据实际情况去衡量并选择做出有利于自己的决定。
CyberEdge Group在他们的报告中描述道,“在2021年中,支付赎金的受害者中有72%恢复了他们的数据,高于2017年的49%。这种对成功恢复数据的信心的增强通常是支付赎金决定的因素。”
你看,当攻击者开始讲信用的时候,作为受害者一方的“消费者”在支付赎金的意愿上也增强了。
另外,根据BakerHostatler的2022年数据安全事件响应报告的内容显示,在他们所接受的与勒索软件攻击相关的事件中,当受害者在支付赎金后,通过从攻击者处所获得的解密器对数据进行了解密,而且攻击者也遵守了他们自己制定的“规则”,即不将其窃取的数据进行公开发布,依据这份报告的数据,这一比例达到了97%。
通过这些数据不难看出,勒索软件运营组织也意识到,当他们在攻击得手后转而去认真地“帮助”受害者恢复他们的数据时,他们支付赎金的可能性会提高很多,这无疑增加了他们通过这种非法活动所能获得的利润,并为未来发起更多的攻击提供了动力。
谈判时长普遍增加 支付赎金的金额有所下降
根据派拓(Palo Alto Networks)在近期发布的一个研究数据显示,组织为了恢复数据所支付的赎金在平均值上大幅上升。另据Coveware所统计的2021年第四季度的数据显示,组织在这方面支付的平均费用约为32.2万美元(约205万元人民币)。
与此同时,BakerHostatler基于其自身在2021年处理的事件数据显示,2021年的赎金要求平均值约为 51.2万美元(约326万元民币),大约是2020年的2/3,至少在这一数据上,是有所降低的。
是什么导致了这一数据下降?在他们看来,从攻击者发出赎金要求开始到最终支付赎金为止的平均时长,从2020年的5天增长到了2021年的8天,这可能会成为平均赎金要求下降的驱动因素之一。
在该机构的调查中还有一个重要发现,那就是组织在备份恢复的能力上已经得到了提高,这在一定程度上帮助受害组织增加了自己同攻击者之间谈判的筹码。因为调查中的另一个结果支撑了这一观点——用于数据解密所支付的赎金成本会远高于单纯防止数据泄露的成本。
如果说双重勒索还是此前勒索攻击发展的趋势,而在当前则已经成为了此类攻击的新常态。
相关安全建设水平的提升令受害组织在谈判中处于有利地位
事实上,我们已经可以看到更多的组织开始关注勒索软件攻击并提高了相关的安全建设投入,尽管有时候这些投入的成果并没有那种立竿见影的可见效果。
比如在我们此前一直强调的数据备份能力方面,很多组织开始关注并进行相关建设,以保证能够在勒索软件攻击事件发生后还能够保证业务能够正常运转或至少保证部分主要业务继续运转,避免导致整体的业务中断。这样一来,就可以让受害组织拥有和攻击者谈判的资本,令自己处在一个相比之前更为有利的位置,拉长谈判时间以打击攻击者的耐心,让其降低赎金要求。
国内长期专注于数据保护领域的CloudWonder嘉云此前在接受安全419采访时就曾表示,面对勒索攻击,仅仅依靠堆砌各种事前防御类产品是明显不足的,针对攻击发生后的事后防御建设同样必不可少。
“将数据备份视作多买几块硬盘存数据的企业并不在少数。”嘉云的技术专家告诉我们,为了应对各种可导致业务中断的异常情况(包括勒索软件攻击在内)出现,企业不仅需要做到数据信息的备份和日志,更重要的还包括信息系统构建过程中容灾体系结构的设计、提前制定的灾难应急预案与恢复计划等,也就是要建立起真正有效的灾备能力。
哪怕是双重勒索,如果企业能够通过自身的安全能力保障自己在遭受勒索攻击导致数据被加密之后,能够快速恢复并保证业务不受中断,那么其所面临的后果损失也将会大大减轻。这意味着,在攻击后业务运转恢复后,所面对的就是防止数据进一步泄露的损失,毫无疑问,攻击者的赎金要求一定不会百分之百的得到满足,而是大打折扣。
因此,制定保障业务连续性的安全规划和相关建设,并确保其有效性,是保障组织在遇到勒索软件攻击事件时能够处在最有利地位的关键。
与此同时,针对勒索软件攻击防护,安全419此前也做了一个系列专题,特别筛选了国内比较有代表性的解决方案,可供大家在进行相关安全建设时参考:
京公网安备 11010802033237号
