根据一家网络安全公司发布的报告,数据备份已成为勒索软件攻击者的必攻击目标。
这项研究由 Sophos 赞助,基于对 14 个国家近 3,000 名 IT 和安全专业人员的调查,发现在过去一年遭受勒索软件攻击的组织中,94% 表示威胁行为者在攻击期间试图破坏其备份。
对于政府、媒体、休闲和娱乐部门的组织来说,这一数字甚至更高:99%。
报告解释称,在勒索软件攻击中恢复加密数据主要有两种方式:从备份中恢复和支付赎金。
研究人员写道:“破坏组织的备份使勒索软件攻击者能够限制受害者恢复加密数据的能力,从而加大支付压力。”
总部位于丹佛的网络安全解决方案提供商Optiv的网络威胁负责人柯蒂斯·费希纳 (Curtis Fechner) 表示:“这已经成为这些人在攻击中使用的常见脚本的一部分。”
“他们总是试图找到备份的位置并使其无法访问,”他告诉 TechNewsWorld。 “他们获得报酬的一部分就是寻找备份,因为他们希望从攻击中获得最大的收入。”
“如果我让你的备份离线并作为恢复的一种手段,我会让你更有可能付费,但我也可以给你更多的压力,因为我知道你很绝望。我知道你陷入了困境,”费希纳补充道。
不断演变的威胁
总部位于德克萨斯州弗里斯科的 IT 安全软件公司Netwrix的安全策略师兼用户体验副总裁伊利亚·索特尼科夫 (Ilia Sotnikov) 解释说,大约 10 年前企业勒索软件出现时,它还不太复杂。
“勒索恶意软件利用不安全的配置或系统漏洞在环境中快速传播,并加密该恶意软件设法访问的所有数据。因此,受害者被勒索支付赎金以获得解密密钥以恢复其操作,”他告诉 TechNewsWorld。
他说:“网络安全行业通过基于更好的保护和检测能力以及既定的备份和恢复规则的多层安全方法来应对这一威胁。” “因此,组织抵御了大部分攻击,最大限度地减少了成功攻击的数量,并学会了如何在不支付赎金的情况下有效恢复系统和运营。”
他继续说道,反过来,勒索软件策略不断发展,通过寻找新的方法来应对安全措施,从而增加成功的机会。恶意软件变得更加难以捉摸。犯罪分子开始在侦察阶段花费更多时间来识别和瞄准最敏感的数据。 Maze 和 LockBit 等团伙开始窃取公司数据,并在加密的基础上增加了公共数据泄露的威胁——这种计划被称为双重勒索。
“从那时起,”他补充道,“勒索软件攻击者也开始瞄准备份,使恢复变得不可能或成本过高,迫使受害者支付赎金。”
备份不足,赎金增加
Sophos 报告称,备份遭到破坏的受害者收到的赎金要求平均是备份未受影响的受害者的两倍多。备份受损的受害者的赎金要求中位数为 230 万美元,而备份未受损的受害者的赎金要求中值为 100 万美元。
“备份为组织提供了安全网。但是,如果备份被盗用,组织遭受网络攻击,他们可能更急于恢复对网络和数据的访问,”芝加哥密码管理和在线存储公司Keeper Security的首席执行官 Darren Guccione 表示。
他告诉 TechNewsWorld:“攻击者意识到,通过删除对备份的访问权限,组织会变得更加脆弱,而且除了满足过高的赎金要求以取回数据之外,几乎没有其他选择。”
Sophos 的研究也证实,备份被盗的组织无法与勒索软件攻击者谈判。研究发现,备份被盗的组织平均支付了勒索软件勒索金额的 98%,而备份未盗的组织支付的勒索软件勒索金额仅为 82%。
报告还指出,备份受到损害的组织支付赎金来恢复加密数据的可能性(67%)几乎是备份未受影响的组织的两倍(36%)。
更高的回收价格
备份受损的受害者不仅需要支付更高的赎金,而且还需要支付更多费用才能从攻击中恢复。
对于备份受到损害的组织而言,其总体勒索软件恢复成本中位数(300 万美元)比备份未受到影响的组织(375,000 美元)高出 8 倍。
Guccione 解释说,遭受勒索软件攻击的组织的恢复成本包括由于运营中断和品牌声誉受损而造成的收入损失、立即和长期的恢复工作、赎金本身的成本以及罚款的可能性以及其他潜在的法律责任。
“当勒索软件攻击还包括备份时,恢复过程会大大延长,因为组织必须重建其系统、数据和其他关键配置,”他说。“如果违规行为导致敏感数据丢失,特别是涉及个人身份信息,或属于 GDPR 或 HIPAA 等数据保护法规,组织可能会产生额外的法律和监管费用。”
根据 Sophos 报告,对于备份受损的组织来说,勒索软件攻击的恢复时间也更长。备份受损的用户中,只有 26% 在受到攻击后一周内恢复,而备份未受损的用户中,这一比例为 46%。
离线备份:安全性与成本
报告指出,备份受损和未受损的组织之间的恢复时间差异可能有多种原因,其中最重要的是从解密数据而不是准备充分的备份进行恢复通常需要额外的工作。它补充说,较弱的备份保护也可能表明防御能力较差,因此需要进行更多的重建工作。
“备份通常不具备与生产系统相同级别的安全控制,”位于旧金山的数据收集、管理和共享公司Zendata的首席执行官 Narayana Pappu 表示。
“在备份系统上实施类似的日志记录、安全和访问控制以及测试将会有很大帮助,”他告诉 TechNewsWorld。 “最重要的是,在多个位置(云中和离线)拥有多个备份副本以及灾难恢复计划将减少停机时间。”
Fechner 指出,虽然离线备份是抵御备份威胁的好方法,但它们的成本可能很高。 “如果你有离线备份并且攻击者无法访问,那么你就可以从中备份一些东西,”他说。 “但由于许多组织无力承担这一费用,特别是当如此多的受害者属于中小型企业类别时,攻击备份对于攻击者来说仍然是卓有成效的。”
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/55.html
评论