2021年，勒索軟件禍害直沖前所未有的高度，勒索軟件攻擊團(tuán)伙往往索要數(shù)百萬(wàn)美元之巨的贖金，并且很多時(shí)候都能得逞。去年6月，全球最大肉類(lèi)加工企業(yè)JBS證實(shí)，因勒索軟件干擾運(yùn)營(yíng)，已向攻擊者支付相當(dāng)于1100萬(wàn)美元的贖金。

2021年5月，Colonial Pipeline給勒索軟件攻擊者打錢(qián)443萬(wàn)美元，不過(guò)，在隨后的行動(dòng)中，美國(guó)司法部(DOJ)沒(méi)收了其中230萬(wàn)美元。同樣是在5月，因遭受Conti勒索軟件滋擾，備份設(shè)備供應(yīng)商ExaGrid向網(wǎng)絡(luò)犯罪團(tuán)伙支付了260萬(wàn)美元贖金。

但是，贖金什么的，在收入損失等勒索軟件攻擊造成的實(shí)際成本面前，還只算得上小巫見(jiàn)大巫。對(duì)于大多數(shù)私營(yíng)公司而言，勒索軟件攻擊的成本，甚至攻擊本身，都可以隱而不現(xiàn)，這也是上周立法規(guī)定所有公司都必須報(bào)告贖金支付情況的緣由所在。

另一方面，上市公司則有義務(wù)向美國(guó)證券交易委員會(huì)(SEC)報(bào)告對(duì)其運(yùn)營(yíng)造成實(shí)際影響的任何網(wǎng)絡(luò)事件，包括勒索軟件攻擊。在SEC注冊(cè)的大多數(shù)上市企業(yè)通過(guò)填報(bào)8-K報(bào)表來(lái)履行這一義務(wù)。(注意：SEC正在制定計(jì)劃，要求所有上市公司：一旦注冊(cè)人確定公司經(jīng)歷了重大網(wǎng)絡(luò)安全事件，必須在四天內(nèi)上報(bào)SEC。)

網(wǎng)絡(luò)安全媒體CSO仔細(xì)查閱SEC的8-K文件之后發(fā)現(xiàn)，2020年和2021年期間，有30家上市公司報(bào)告了勒索軟件事件、支付了勒索軟件相關(guān)費(fèi)用，或者收到勒索軟件相關(guān)的保險(xiǎn)賠償。盡管這些文件大多認(rèn)定勒索軟件攻擊非重大級(jí)別，或者缺乏詳細(xì)說(shuō)明事件處理成本所需的財(cái)務(wù)數(shù)據(jù)，但有七份文件記錄了足夠的成本數(shù)據(jù)，可供一窺勒索軟件事件的成本可能有多高。

七個(gè)相關(guān)案例簡(jiǎn)述

1. Sinclair Broadcast Group

這家媒體和廣播巨頭報(bào)告稱2021年10月遭遇了勒索軟件事件。Sinclair表示自己并未支付贖金，能夠依靠備份恢復(fù)網(wǎng)絡(luò)，但發(fā)生的一些中斷影響了收入和費(fèi)用。該事件導(dǎo)致廣播部門(mén)第四季度廣告收入損失6300萬(wàn)美元，修復(fù)成本為1100萬(wàn)美元。得到保險(xiǎn)賠償后，該公司估算此次網(wǎng)絡(luò)事件造成大約2400萬(wàn)美元無(wú)法挽回的凈損失。不過(guò)，由于恢復(fù)細(xì)節(jié)仍未確定，這一估計(jì)數(shù)據(jù)可能還會(huì)增加。

2. Blackbaud, Inc

2020年5月，云技術(shù)公司Blackbaud遭到勒索軟件攻擊，但該公司成功阻止了攻擊者中斷其系統(tǒng)訪問(wèn)，并粉碎了攻擊者完全加密其文件的意圖，最終將攻擊者從其系統(tǒng)中驅(qū)逐了出去。然而，攻擊者刪除了其自托管私有云環(huán)境中的部分?jǐn)?shù)據(jù)副本，Blackbaud還是不得不支付了攻擊者索要的贖金。

2020年，Blackbaud的安全事件相關(guān)費(fèi)用為1040萬(wàn)美元，抵消了940萬(wàn)美元的保險(xiǎn)賠償。來(lái)自客戶或律師的事件相關(guān)費(fèi)用報(bào)銷(xiāo)索賠大約有570份。2021年7月，法院批準(zhǔn)這些訴訟繼續(xù)進(jìn)行。2022年2月，Blackbaud簽訂了一份信貸協(xié)議，預(yù)計(jì)與數(shù)據(jù)泄露和勒索軟件攻擊相關(guān)的非經(jīng)常性法律費(fèi)用高達(dá)5000萬(wàn)美元。

3. WestRock Company

2021年1月23日，這家差異化紙張與包裝解決方案提供商遭到勒索軟件攻擊，致使IT和運(yùn)營(yíng)技術(shù)系統(tǒng)中斷。該公司聲稱，2021年第二季度的銷(xiāo)售損失和運(yùn)營(yíng)中斷造成凈銷(xiāo)售額減少1.89億美元，部門(mén)收入減少8000萬(wàn)美元。WestRock還表示，事件產(chǎn)生了大約2000萬(wàn)美元的勒索軟件恢復(fù)成本，主要是支付專業(yè)費(fèi)用。WestRock預(yù)計(jì)未來(lái)將通過(guò)網(wǎng)絡(luò)和業(yè)務(wù)中斷保險(xiǎn)挽回勒索軟件損失。

4. Radiant Logistics

2021年12月8日，這家物流和多式聯(lián)運(yùn)公司遭到勒索軟件攻擊，運(yùn)營(yíng)和IT系統(tǒng)受損。Radiant表示，該事件導(dǎo)致公司12月份營(yíng)收損失和成本增加，預(yù)計(jì)將對(duì)公司2022財(cái)年第二季度的業(yè)績(jī)產(chǎn)生不利影響。

該公司指出，在公司下線各個(gè)系統(tǒng)之前，攻擊者從公司服務(wù)器上提取了其客戶和員工的相關(guān)數(shù)據(jù)。公司正積極聯(lián)系可能受這些事件影響的用戶。在詳細(xì)介紹其2021年全年財(cái)務(wù)數(shù)據(jù)時(shí)，Radiant表示，12月勒索軟件相關(guān)事件成本為75萬(wàn)美元，其中包括第三方取證專家和其他IT專業(yè)費(fèi)用、法律費(fèi)用以及增加的加班費(fèi)和員工相關(guān)費(fèi)用。

5. Mineral Technologies

2020年10月26日，這家礦物技術(shù)公司遭到Egregor勒索軟件攻擊。Mineral表示，2020財(cái)年遭遇勒索軟件攻擊后，公司在系統(tǒng)恢復(fù)和風(fēng)險(xiǎn)緩解方面產(chǎn)生了400萬(wàn)美元的費(fèi)用。

6. Benchmark Electronics

這家電子工程公司最初于2019年11月5日?qǐng)?bào)告稱遭到勒索軟件攻擊，攻擊導(dǎo)致客戶和員工一度無(wú)法訪問(wèn)其系統(tǒng)和服務(wù)。受攻擊影響，該公司2019財(cái)年支付了768.1萬(wàn)美元的勒索軟件事件相關(guān)費(fèi)用。到2021年底，大概是獲得了保險(xiǎn)賠償，Benchmark Electronics補(bǔ)上了其中398.9萬(wàn)美元。

7. Faneuil

身為ALJ Regional的子公司，這家業(yè)務(wù)流程外包解決方案提供商于2021年8月18日檢測(cè)到勒索軟件攻擊。Faneuil展開(kāi)調(diào)查并聘請(qǐng)法律顧問(wèn)和其他事件響應(yīng)專業(yè)人員，實(shí)施了一系列遏制和補(bǔ)救措施來(lái)緩解事態(tài)，并通過(guò)主流網(wǎng)絡(luò)安全公司加強(qiáng)其信息技術(shù)系統(tǒng)安全。受此事件影響，F(xiàn)aneuil付出了大約280萬(wàn)美元的費(fèi)用和罰款。Faneuil確認(rèn)應(yīng)獲得190萬(wàn)美元保險(xiǎn)追償，目前收到130萬(wàn)美元保險(xiǎn)賠付。余下的保險(xiǎn)賠償款預(yù)計(jì)在2022年3月31日之前付清。

勒索軟件緩解過(guò)程矯正技術(shù)債務(wù)

Recorded Future情報(bào)分析師Allan Liska向媒體透露：“恢復(fù)過(guò)程中有很多我們通常考慮不到的費(fèi)用。只要不打算不支付贖金，就必須恢復(fù)所有機(jī)器。因此，你得準(zhǔn)備好面對(duì)事件響應(yīng)開(kāi)支和隨之而來(lái)的一切費(fèi)用。你覺(jué)得這可能就是幾百萬(wàn)美元。但是，除此之外，應(yīng)該計(jì)入其中的費(fèi)用還有很多，比如Blackbaud遭遇的巨額法律費(fèi)用。”

Liska補(bǔ)充道：“另一項(xiàng)應(yīng)該計(jì)入勒索軟件恢復(fù)費(fèi)用的大筆開(kāi)支，是勒索軟件緩解過(guò)程中補(bǔ)上的技術(shù)債務(wù)：那些應(yīng)該實(shí)現(xiàn)但卻擱置多年的項(xiàng)目。我們兩年前就應(yīng)該實(shí)現(xiàn)多因素身份驗(yàn)證了。現(xiàn)在，經(jīng)歷勒索軟件攻擊之后，我們總算能開(kāi)工了。經(jīng)歷勒索軟件攻擊之后開(kāi)放安全預(yù)算幾乎成了常規(guī)，而這些錢(qián)勢(shì)必來(lái)自別的地方，不屬于原先的安全預(yù)算。于是，跟乾坤大挪移似的，最終算成了勒索軟件費(fèi)用。”