过去的一年里，针对关键国家基础设施（CNI）组织进行的勒索软件攻击所带来的相关成本呈现出显著增长的趋势。

近日，Sophos发布数据显示，赎金支付的中位数已攀升至254万美元，是去年62,500美元的41倍。此外，2024年的平均赎金金额更是高达322.5万美元，尽管这代表了一个相对较小的6倍增长。

在众多行业中，信息技术、科技和电信领域的机构对于网络犯罪的赔偿金额相对较低，平均赔偿额约为33万美元。相较之下，教育水平较低的组织以及联邦政府机构的平均赔偿金额则高达660万美元。

由于这些数据仅涵盖那些自愿透露详细错误信息的勒索软件受害者，所以并不能全面反映实际情况。

在针对赎金支付问题的调查中，我们共收集了来自275个参与调查的CNI组织的数据，但其中只有86个组织提供了具体信息。如果将这些数据视为所有参与调查的CNI勒索软件受害者的总体情况，那么这些数据很可能是不准确甚至是歪曲的。

相较于研究人员去年发布的研究报告，此次从勒索软件攻击事件中恢复所需的花费明显提高。部分CNI部门的恢复成本更是翻了一倍，平均每起事件的平均成本达到了300万美元。

尽管去年石油、天然气、能源及公用事业领域的平均恢复成本略有下降，从317万美元降至312万美元，但能源和水务行业的恢复成本上升幅度最为显著。据Sophos分析，这两个行业的新平均值目前已经超过了全球跨行业平均水平的中值75万美元的四倍。

这两个领域同样是我们关注的重点。有67%的组织因为遭受攻击而导致业务中断，这一比例高于全球平均水平的59%。

随着攻击成本不断上升且成功率逐渐提升，能源和水务部门在这类攻击后的恢复速度变缓也就显得更加明显。

根据调查结果，仅有五分之一的人在短短一周内就能恢复业务，相较之下，去年这一比例为41%，前年更是高达50%。在恢复时间较长的那一端的情况也更为严峻——需要超过一个月才能恢复的受害者比例从去年的36%上升至55%。

Sophos在其报告中指出，这一现象可能是因为网络攻击正变得更加复杂和高级，这给IT团队带来了更多的修复工作。然而，该公司的全球现场技术总监Chester Wisniewski建议，或许各个行业应该重新考虑支付赎金的态度。

这一情况再次表明，支付赎金几乎总是不利于我们的最佳利益。尽管在恢复数据时支付了赎金的组织数量越来越多（61%），但恢复业务所花费的时间却更长了。不仅高昂的赎金率和金额鼓励了对该行业的更多攻击，而且这些赎金并未实现缩短恢复时间的目标。

继续围绕是否应该支付赎金的讨论使得信息安全领域的专业人士产生了分歧。虽然美国是反勒索病毒倡议（CRI）的领导者，该倡议成员虽同意不再支付赎金，但这种做法并非强制性，并且在现实中对减少勒索软件攻击的影响似乎有限。

网络安全和基础设施安全局局长Jen Easterly在一次活动上发表讲话时表示，她并不相信全面禁止使用支付工具能取得成效，因为这是一种不可行的做法。

相反，她提到了CIRCIA，这与英国首相Kier Starmer计划通过英国的网络安全和弹性法案提出的措施相呼应。该法案要求关键基础设施运营商披露勒索软件攻击事件。

该法案的目标之一是提升英国关键部门的网络安全水平，这体现了CISA对安全设计的承诺。CISA希望通过这一法案促使供应商在软件安全性方面做出改进，从而使得整体的安全态势得到显著提高。

如果Sophos的数据有任何参考价值的话，那么这些变化来得越快越好。具体来看，漏洞利用在所有攻击事件中的占比已从去年的35%上升至49%，再次成为CNI勒索软件攻击的主要途径之首。

* 本文为陈发明编译，原文地址：https://www.theregister.com/2024/07/17/ransomware_continues_to_pile_on/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。