本报告原计划于2020年1月1日发布,但是,由于最近发生的勒索软件攻击事件可能导致市政府的数据落入网络犯罪分子的手中,我们决定立即发布本报告。我们认为这种发展变化已将勒索软件威胁提升到了新的危机水平,各地政府必须立刻采取行动提升安全性并减低风险。如果不采取措施,政府敏感数据被盗和泄露的类似事件将会继续发生。我们希望提早发布本报告有助于尽早展开讨论和寻找可用的解决方案。我们认为这些解决方案的需求非常迫切。我们将在新年到来时更新本报告中的数据,但不幸的是,几乎可以肯定将会大于当前的数字。
2019年12月14日更新 -在此报告发布后的24小时内,新奥尔良市和其他几个公共机构成为勒索软件攻击的最新受害者。我们重复以上警告:现在威胁级别极高,政府必须立刻采取行动增强其防护能力和减轻风险。
威胁背景
在2019年,美国遭遇了前所未有的、持续不断的勒索软件攻击,至少948个政府机构、教育机构和医疗机构遭到攻击,潜在损失可达75亿美元。受影响的组织包括:
· 103个州、市政府和机构
· 759个医疗服务提供商
· 86所大学、学院和学区,可能影响多达1224所学校的运营
这些事件不仅带来了昂贵的麻烦,它们造成的破坏使人们的健康、安全和生命处于危险之中。
· 急症病人必须被转移到其它医院
· 医生无法访问病历,某些情况下病历永久丢失
· 手术被取消,检查被推迟,入院也被暂停
· 911服务中断
· 派遣中心只能使用纸质地图和纸张记录跟踪外勤的应急服务人员
· 警察被锁定在后台检测系统之外,无法访问犯罪历史、逮捕令等信息
· 监控系统离线
· 刷卡器和建筑物访问控制系统停止工作
· 监狱门无法被远程打开
· 学校无法访问学生的用药记录或过敏数据
“2019年没有已确认的由勒索软件攻击导致的死亡案例仅仅是由于好运,但2020年好运可能不会持续。政府和医疗、教育部门必须做得更好。” —Emsisoft首席技术官Fabian Wosar。
事件的其它影响包括:
· 房地产交易中断
· 无法开具水电费单
· 非营利组织的捐赠款被推迟了几个月
· 网站离线
· 在线支付系统无法访问
· 邮件和电话系统停止工作
· 无法颁发或更新驾照
· 供应商的付款被延迟
· 学校关门
· 学生成绩丢失
· 纳税截止日期被迫延长
本报告探讨了事件的成本和原因,并对应采取的行动方案和行业细分进行了讨论。
事件成本
由于缺乏公开可用的数据,因此准确估算这些事件的成本是一个不可能的任务。Winnebago县首席信息官Gus Gentner于9月发布的一份声明或许是对潜在成本的最好例证:“统计数据告诉我们,勒索软件事件的平均成本为810万美元和287天的恢复时间。”
我们无法评论该声明的准确性,但如果正确的话,2019年勒索软件事件的总成本可能超过75亿美元。尽管我们认为这高估了实际的成本(一个小型学区的恢复费用不太可能达到7位数),但它仍然表明了这些事件的巨大财务影响。
应当指出的是,这些事件还产生了更广泛的经济影响。例如,在某些案例中,公司无法获得进行某些工作所需的许可和文件,从而扰乱和延误了企业运营。对这些费用进行估算超出了本报告的讨论范围。
事件原因
由于组织现有的安全漏洞以及专为利用这些漏洞而设计的日益复杂的攻击机制的发展,勒索软件事件在2019年急剧增加。这些因素共同造成了一场近乎完美的风暴。在过去的几年中,安全性不佳的组织过的逍遥自在,但在2019年,他们不得不付出了更大的代价,无论是象征意义上还是字面意义上。
密西西比州审计专员在2019年10月发布的一份报告指出,“州政府忽视了网络安全”,“许多州机构的运作就像州和联邦网络安全法并不适用于它们一样”,并指出了以下问题:
· 没有适当的安全策略方案或灾难恢复计划。
· 未执行法律规定的风险评估。
· 没有加密敏感信息。
该报告还指出:“超过一半的受访者表示其遵守企业安全计划的比例不足75%”。该计划确定了法律规定的最低安全要求。
应当指出的是,只有少数州进行了整个州范围内的审计,尽管密西西比州的审计发现了许多严重问题,但它仍然是2019年受勒索软件影响最小的州之一。这引发了一个明显的疑问:其它州的审计结果揭示出它们的安全性比密西西比还要差吗?
马里兰州巴尔的摩县大学(University of Maryland,Baltimore County)的2019年调研报告基于在全国范围内对美国地方政府网络安全性的调查数据指出:“其网络安全实践的严重阻碍包括这些政府内部缺乏对网络安全的准备以及为此提供资金”, “整体上地方政府在管理网络安全方面做得很差。”该报告发现的问题包括:
· 略微超过三分之一的受访者不知道安全事件发生的频率,近三分之二的受访者不知道其系统被入侵的频率
· 只有少数地方政府报告说,他们具有非常好或极好的检测、阻止和从可能对其系统造成不利影响的事件中恢复的能力
· 不到一半的受访者表示,他们对攻击进行了分类或统计
在某些情况下,政府甚至没有实施最基本的IT最佳实践。例如,巴尔的摩经历了数据丢失事件,因为其数据仅保存在没有备份机制的终端用户系统上。
我们的研究表明,大多数美国地方政府在实施网络安全方面做得很差。他们必须做得更好。他们可以首先在整个组织中建立网络安全文化,以更好地保护公民信息并维持持续的服务交付。” — UMBC名誉教授Donald F. Norris博士;Laura Mateczun,法学博士,UMBC公共政策博士研究生。
即使在法律要求的情况下,政府也未能实施基本的和公认的最佳实践,这一事实只能被描述为严重疏忽大意- 特别是这些机构非常清楚他们很可能成为当前网络攻击活动的目标。这一事实没有任何借口。他们需要做得更好。他们必须做得更好。
除非政府改善其网络安全状况,否则针对他们的网络攻击将继续成功。
应当采取的措施
万能灵药是不存在的。为了使公共机构更安全,更不容易受到勒索软件攻击和其他安全事件的影响,必须采取多种措施。
· 改进安全标准和监管:密西西比州审计专员的报告和UMBC的研究均表明政府安全存在重大缺陷。为解决此问题,所有提供关键服务的政府机构和其他组织都应遵守联邦或州规定的基准安全标准,并接受审计以确保符合这些标准。此外,鉴于密西西比州的案例清楚地表明法律和审计不一定导致合规,因此需要建立机制,迫使机构遵循这些标准。
· 更多指导:网络安全非常复杂,正确解决这一挑战可能非常困难,尤其是对于小型机构而言。小城市的市政当局需要达到与大城市类似的安全级别,但是它们用于实现这一目标的人力和财力却较少。组织越小,挑战就越大。为了达到满意的安全水平,哪些是组织必须要做的呢?小型学区应该投资于年度渗透测试、第三方网络安全监控,还是两者都不投资?目前,即使是最小的组织也需要进行自己的研究,并自行做出决定。这既是不必要的资源浪费,又是灾难的根源,因为显然许多组织没有做出正确的决定。因此,如上所述,需要建立基准安全标准。其重要性不仅在于可接受的安全标准始终可以达到,而且可以确保预算花在该花的地方。
· 安全债务和资金:对IT的投资不足已导致许多组织产生安全债务,而安全缺陷是该债务的结果。根据UMBC的研究,超过50%的政府认为缺乏资金是网络安全的障碍,这几乎肯定也是教育和医疗保健行业面临的问题。解决该问题可能只需要组织重新分配其现有预算,或者可能需要联邦或州政府提供额外的资金。无论哪种情况,这都是必须解决的问题。
· 减少情报空缺:目前,公共实体没有报告或披露勒索软件事件的法律要求,因此,有关事件的数据很少。但是,诸如所使用的勒索软件病毒、攻击媒介、所利用的漏洞以及事件的财务影响之类的信息至关重要,因为它可以帮助其他组织更好地了解威胁状况并更好地评估其安全优先级别。例如,如果组织知道哪些弱点使其它组织受到损害,则可以确保它们没有相同的弱点。为了减少情报空缺,应该引入报告方面的要求,并要求对收集的数据进行汇总、匿名化和共享。正如Algirde Pipikaite(世界经济论坛)和Marc Barrachin(标准普尔)最近所说的那样,“信息就是力量,在网络安全中,信息就是防止其他类似事件发生的力量。”
· 更好的公私部门合作:在公共部门和私营部门之间建立更强的沟通渠道对于协调反勒索软件的工作非常重要。共享情报将使两个部门都能更有效地响应事件,并减少受影响实体的恢复成本。共享情报尤其重要,因为出于多种原因,安全公司并不能总是对他们规避勒索软件的方法完全透明或是将这些方法的细节公开。例如,勒索软件团伙如果能够意识到1)这些错误的存在以及2)一家安全公司正在积极利用它来帮助受害者,便能够修复其代码中的错误。因此,需要一种能够使信息在联邦和州执法机构、其他安全公司和事件响应公司之间安全共享的方法。如果没有这样一种沟通渠道(目前也不存在),则受影响的机构可能不会发现有可用的解决方案,并且可能不必要地支付赎金或不必要地导致其它费用。从积极的方面来看,美国参议院最近通过的《DHS网络搜寻和事件响应小组法案》无疑是朝正确的方向迈出了一步。
· 对支付赎金进行立法限制:在某些情况下,公共机构选择支付赎金,因为这样做比其他恢复方案的成本更低。例如,Lake City选择支付460,000美元的赎金,即使该市可能已经能够通过其他方式恢复数据。根据ProPublica的报告,“(Lake City)市长维特(Witt)在一次采访中说,他知道从备份文件中恢复的工作,但宁愿让保险公司支付赎金,因为这对于该市来说更加便宜。他说:“我们支付了10,000美元,希望我们能恢复正常运作。”基于简单的成本效益分析来做出此类决定是不应该的。是否使用公民的纳税来偿还勒索者的问题不是一个常规的商业决定,最便宜的选择不一定是最佳选择。通过支付赎金,公共机构正在激励网络犯罪分子并帮助延续他们的犯罪周期。虽然一揽子禁令可能不切实际,但政府显然应该考虑制定立法,防止公共机构在有其他恢复选择的情况下支付赎金。虽然这可能最初会增加成本,但从长远来看,它的成本会更低。奇怪的是,美国政府对人质赎金采取了不让步的政策,但对数据赎金没有任何限制。 在这两种情况下,拒绝满足勒索者的要求都会抑制其它的勒索企图,当然,反之亦然。
· 供应商和服务提供商必须做得更多:可以肯定地说,每个公共实体都有适当的安全解决方案,尽管如此,许多公共机构仍然受到勒索软件的影响。这并不足够。供应商和服务提供商需要站稳脚跟,进行创新、协作,并做更多工作来保护他们的客户和客户的客户。例如,通过管理服务提供商(MSP)使用的远程监视和管理(RMM)工具,攻击者在2019年发起了大量的勒索软件攻击,使MSP的多个客户同时受到攻击 - 一次事件中超过400个。这些攻击是完全可以预见的,并且大多数是可以预防的。在大多数情况下,由于RMM上未启用双因素或多因素身份验证,因此攻击获得了成功。尽管RMM支持2FA / MFA,但供应商并没有强制使用它,一些MSP选择不使用它。大多数RMM供应商都是在其解决方案被用作大规模勒索软件攻击的跳板之后才强制使用2FA /MFA。这是不可接受的。行业需要更加积极主动,而不是被动响应,服务提供商不应将便利性置于安全性之上。
见解与洞察
· 网络保险:拥有网络保险的组织可能更倾向于支付勒索赎金,这导致勒索软件比其他情况更有利可图,并刺激了进一步的攻击。“似乎许多政府从这些攻击中吸取的教训不是他们需要更好的网络和数据保护以及更有效的事件响应计划,而是他们最需要的是提供更多的保险来帮助支付赎金- 这种现象只会助长更多勒索软件攻击和带来强大、资金充裕的犯罪分子,” 约瑟芬·沃尔夫(JosephineWolff)说,他是塔夫茨大学弗莱彻学院网络安全策略助理教授。需要明确的是,这并不是说公共机构不应该购买网络保险,相反,这可能是一项非常明智的投资,而是不应将保险视为资金和资源完备的安全计划的替代方案。
· 事件是可以预防的:尽管在2019年有948个政府机构、学区和医疗保健服务商受到勒索软件的影响,但没有一家银行披露过勒索软件事件。这不是因为银行没有成为目标,而是因为它们具有更好的安全性,使得针对它们的攻击不太可能成功。即使政府机构只是简单地遵循行业标准的最佳实践(例如确保备份所有数据并在使用数据的任何地方使用多因素身份验证),那么仅此一项就足以减少成功攻击的次数和它们的严重性以及造成的破坏。
· 备份不是万能灵药:组织对勒索软件危机的反应通常只是投资于更好的备份系统。设计良好的备份系统应防止备份被加密或删除,但在勒索软件事件发生后使用这些备份将系统重建到完全可运行状态的过程可能需要数周或数月的时间,在此期间组织将继续遭受重大损失。因此,需要将重点放在预防和检测上,尤其是在诸如医院等提供关键服务且无法承受宕机时间的组织中。尤其是,组织应假设自己的边界将被破坏,并监视其环境以寻找入侵的迹象。例如,经常用作攻击跳板的Emotet可能在网络上存在数天、数周甚至数月才被用于部署勒索软件。这为组织提供了一个机会窗口,在此期间可以在勒索软件攻击发生之前检测并消除威胁。鉴于勒索软件攻击期间数据被泄露和公开的风险增加,预防和检测尤为重要(请参阅下文)。需要明确的是,我们绝不轻视备份的重要性。所有组织都必须拥有一个强大而安全的备份系统,这一点至关重要。
· 数据泄露:11月,对安全人员配置公司AlliedUniversal 的勒索软件攻击导致数据不仅被加密,而且被泄露,并且其中的一部分被公开。攻击者将剩余的未公开数据当作额外的筹码,威胁要在AlliedUniversal不支付赎金的情况下将其公开。我们预计诸如此类的“双重打击”攻击会越来越普遍。这是一个极其令人担忧的发展,特别是考虑到公共部门机构所拥有数据的极度敏感性,并且进一步表明需要将重点放在预防和发现上。
按行业细分
州、市和其他政府机构
2019年,至少有103个政府实体受到勒索软件的影响,其中值得注意的事件包括:
· 巴尔的摩:5月7日,巴尔的摩市政府的计算机感染了一种名为RobbinHood 的危险勒索软件。这次袭击几乎扰乱了每个政府部门,并且由于房地产交易无法完成,还影响了房地产市场。该市拒绝支付13比特币(超过75,000美元)的赎金。恢复成本估计超过1800万美元。
· 里维埃拉海滩:6月,当警察局员工打开恶意电子邮件附件时,佛罗里达州里维埃拉海滩遭到勒索软件攻击。这次攻击关闭了许多服务,包括城市的网站、电子邮件服务器和计费系统。里维埃拉比奇市议会一致投票同意支付60万美元的赎金要求,并向新硬件投资了90万美元以重建其IT基础架构。
· 新贝德福德:7月,马萨诸塞州新贝德福德遭到Ryuk勒索软件攻击,该软件对158台计算机的数据进行了加密。攻击者要求支付530万美元的赎金,这是当时公开披露的最大一笔赎金,并拒绝了该市的40万美元还价。恢复成本估计不到100万美元,该市预计将用保险支付。该事件导致向非营利组织的捐赠款支付延迟了三个月以上。
教育
至少有86所大学、学院和学区受到影响,中断了多达1,224所学校的运营。
· 路易斯安那州的公立学校:7月,路易斯安那州州长约翰·贝尔·爱德华兹宣布进入紧急状态,因为三个公立学区– Sabine,Morehouse和Ouachita –成为勒索软件的受害者。该州调动了包括路易斯安娜国民警卫队、路易斯安那州警察、技术服务办公室等机构的网络安全专家在内的州资源来帮助学校。11月州长再次宣布进入紧急状态,当时勒索软件攻击影响了路易斯安那州5,000台网络服务器和1,500多台计算机中的10%。
· 罗克维尔中心学区:7月25日,罗克维尔中心学区被Ryuk勒索软件感染。该地区的保险公司通过协商将最初的赎金要求从176,000美元降至88,000美元。该地区的保险公司支付了赎金,尽管RCSD支付了$ 10,000。
· 拉斯克鲁塞斯公立学校:10月下旬,勒索软件攻击迫使总部位于新墨西哥州拉斯克鲁塞斯学区的公立学校关闭了数千台服务器和设备。该地区未与攻击者谈判。他们需要重新格式化约30,000个设备,并重新安装操作系统,然后才能使用它们访问互联网。这是过去六年来拉斯克鲁塞斯公立学校第三次遭到袭击。
医疗保健
医疗保健组织承受着支付赎金的巨大压力,因为不支付则可能导致危及患者生命。医疗保健行业是2019年最受欢迎的勒索软件攻击目标,至少759家服务提供商受到了勒索软件的影响。
· WoodRanch Medical:8月10日,总部位于加利福尼亚州的Wood Ranch Medical遭受了勒索软件攻击,5,835名患者的病历无法访问。在攻击过程中,该医院的备份系统也被加密,因此无法恢复数据。该事件非常严重,以至于该医院宣布将永久关门。无独有偶,今年早些时候,密歇根州的Brookside ENT和听力中心也在受到勒索软件攻击后关门了。
· 坎贝尔县卫生局:9月,怀俄明州吉列的坎贝尔县卫生局在遭受勒索软件攻击后面临严重破坏。手术被取消,急诊室病人被转移到其他医疗机构,医院被迫停止接受新的住院病人。袭击发生四周后,诊所仍然无法访问患者的信息。
· DCH Health Systems:10月,阿拉巴马州医疗集团DCH HealthSystems(包括Tuscaloosa、Fayette和Northport的医院)遭到Ryuk勒索软件的袭击。医院被迫停止接纳所有新的非重病患,并且由于无法获得数字记录,医务人员不得不依靠笔和纸张工作。DCH能够从备份中还原某些服务器,但还是支付了一笔未披露的费用以重新获得对其他被加密系统的访问。
结论
与其他业务一样,犯罪业务也追求已被证明有效的策略。事实证明,针对政府、医疗保健服务商和教育机构的勒索软件攻击确实很有效,因此这些行业在2020年可能继续成为主要目标。此外,鉴于攻击者现在可获得的财务资源以及可观的利润,这些行业的企业应该明确攻击的复杂性和频率可能都会增加,并且犯罪分子可能会以公开数据作为威胁支付赎金的额外攻击手段。
支付赎金会激励勒索软件攻击的发生。阻止勒索软件的唯一方法是使其无利可图,这意味着公共部门必须实践更好的网络安全性,从而不必支付勒索费用。
政府必须采取行动,而且是现在。
“ 2020年不必是2019年的重复。对人员、流程和IT进行适当的投资将导致勒索软件事件的发生率大大降低,并且发生的事件不会那么严重,破坏力更弱,成本也更低。” –Emsisoft首席技术官Fabian Wosar。
声明:本报告只是为了学习研究而翻译,无出版、发售等任何商业行为,因此不对任何版权问题承担责任。
原文链接:https://blog.emsisoft.com/en/34822/the-state-of-ransomware-in-the-us-report-and-statistics-2019/
声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
