80%支付赎金的受害者被勒索软件二次攻击

美国端点安全供应商Cybereason 的新研究为支付赎金的组织提供了令人不安的发现，研究内容包括从重复攻击到损坏的数据以及错误的解密工具。

研究结果显示：在勒索软件攻击后付款的组织很可能会遭受第二次攻击。

端点安全供应商 Cybereason 的新研究通过对来自美国、英国、西班牙、德国、法国、..联合酋长国和新加坡的 1,263 名信息安全专业人员的调查，研究了勒索软件对企业的短期和长期影响。该调查最重要的发现之一是，在要求支付赎金的组织中，80% 经历了第二次攻击。

更糟糕的是，在再次受到攻击的人中，近一半的人表示他们认为是同一名攻击者所为，而只有 34% 的人表示他们认为第二次攻击是由不同的威胁参与者实施的。

此外，根据Cybereason 的报告，付费并不能保证运营会恢复正常。在接受调查的人中，46% 的人在付款后重新访问了他们的数据，但部分或全部数据已损坏。25% 的受访者表示，勒索软件攻击导致他们的组织关闭。

Cybereason 的报告围绕不断增长的重复攻击威胁提供了令人不安的数据。尽管 80% 高于 Cybereason 联合创始人兼首席技术官Yonatan Striem-Amit 的预期，但他表示这并不令人意外。Striem-Amit 说，这一比例非常高的原因是，当企业选择支付赎金时，他们可能正在解决一个迫在眉睫的问题，所以他们也宣布愿意支付潜在的大笔资金来解决危机。

Striem-Amit 表示，网络犯罪分子在识别潜在目标方面已经变得更好，而较大的勒索软件组织则专门从事组织挖掘——利用有针对性的入侵技术追踪大型跨国公司。问题变得越来越严重，以至于白宫最近发布了一项仅针对企业的勒索软件指令。

“当受害者付款时，他们向攻击者发出了一个信号：我们开门营业，”他说。“然后犯罪分子在受害者有机会加强安全措施之前再次攻击他们。”

Cybereason 并不是唯一一家观察到组织被多次攻击的趋势的供应商。Mandiant 事件响应主管 Nick Pelletier 告诉记者，他的公司已经对多次受同一勒索软件威胁攻击者伤害的公司进行了调查。然而，它们经常发生在威胁行为者试图索取赎金未成功的情况下。根据 Pelletier 的说法，在这些情况下，Mandiant 观察到威胁行为者的策略升级；首先是通过增加加密范围，然后是通过数据窃取和暴露来敲诈勒索。

“通过这种方式，重复瞄准同一组织有助于通过增加影响力来完成威胁行为者的任务。此外，将重复瞄准视为错误或受害者缺乏准备是不准确的，因为它更只是类似于作为攻击者的持续攻击。Pelletier 在给记者的一封电子邮件中说，这是需要调查、修复和提高弹性的奢侈安全提升时间。

此外，攻击后的事件响应可能很棘手。Omdia 的首席分析师 Eric Parizo 告诉记者，因为每个事件都是独一无二的，即使员工经过..、拥有良好的技术和健全的流程来支持 IR 工作，事情仍然可能出错。

“如果你没有足够快地发现事件，识别所有受影响的地方并采取正确的行动来缓解它，可能会发生重复攻击” Eric Parizo在给媒体的一封电子邮件中说。

TechTarget 的一个部门 Enterprise Strategy Group 的首席分析师 Jon Oltsik 表示，其他问题是非正式和未经测试的程序以及缺乏训练有素的 IR 人员。“通常情况下，客户确实会听取 IR 提供商的意见，但他们可能没有及时这样做的技能、资源或工作流程，”Oltsik 在给 SearchSecurity 的电子邮件中说。

Cybereason 要求部分受访者在过去 24 个月内分享他们在攻击后采取了哪些解决方案，以保护他们的网络免受任何未来事件的影响。前五名是电子邮件扫描、数据备份和恢复、端点保护、安全运营中心(SOC)，而排名第一的是 48% 的安全..意识。

“不幸的是，这不是一个选择，只能这样做，” Striem- Amit 说。“如果你围绕意识构建整个安全计划，这将不会成功。但是将所有这些事情一起做是非常有效的——部署正确的解决方案、..团队和最佳实践将有所帮助。企业必须愿意采取行动。”

虽然Striem- Amit 表示网络保险是企业网络安全态势的重要组成部分，但 Cybereason 看到了许多保险未涵盖全部损害的案例。根据调查，42% 的受访者表示，他们的保险公司只承保了部分经济损失。但在品牌声誉受损、裁员、业务中断等等之间，成本不断增加。

“保险真的能涵盖勒索软件攻击的全部成本吗？答案是否定的。它可能不足以作为减轻组织风险的唯一或主要方式，” Striem- Amit 说。

好的一面是，Cybereason 的报告称，今年的总体攻击量似乎正在下降。然而，该报告称，正在发生的上述攻击更为复杂。Striem- Amit 表示，当今的勒索软件操作与民族国家黑客的复杂程度和知识几乎没有区别。因此，企业需要做好准备。

他说：“专注于正确前沿的网络防护技术，从过时的做法转向现代做法，比遭受勒索软件攻击时对您造成的巨大损失要便宜得多。” “如今的勒索软件攻击是现代的、复杂的，并且真正针对每个人。现在就认真对待吧。”