5 lý do tại sao số “chi phí” cho Ransomware attacks ngày càng gia tăng.



Tiền chuộc vẫn chỉ là một phần nhỏ trong tổng “chi phí” cho một cuộc Ransomware attacks ,nhưng các chi phí liên quan đang tăng lên một cách chóng mặt.

Rất ít tổ chức phải trả 67 triệu đô la chi phí liên quan đến Ransomware như United Health Services (UHS) đã làm, vào năm ngoái sau cuộc tấn công vào tháng 9 năm 2020 làm tê liệt toàn bộ hệ thống mạng của họ. Tuy nhiên, tổ chức này là một ví dụ về thiệt hại ngày càng nặng nề về tài chính mà các cuộc tấn công này bắt đầu tống tiền các nạn nhân trong hai năm qua.

Các chuyên gia bảo mật đã theo sát xu hướng, đã chỉ ra một số yếu tố khiến chi phí gia tăng liên quan đến các Ransomware attacks, đặc biệt là đối với các tổ chức trong lĩnh vực chăm sóc sức khỏe. Một trong những điều rõ ràng nhất là sự gia tăng số tiền chuộc trung bình mà những hacker đòi hỏi từ nạn nhân.

Một phân tích dữ liệu yêu cầu bồi thường từ các chủ hợp đồng của công ty bảo hiểm mạng liên minh vào năm ngoái cho thấy nhu cầu tiền chuộc trung bình tăng 47% từ chỉ hơn 230.000 đô la trong quý 1 năm 2020 lên 338.669 đô la trong quý 2 năm 2020. Một số, như những kẻ tạo ra Maze ransomware tấn công nạn nhân, yêu cầu tiền chuộc trung bình rơi vào khoảng là $ 420,000. Một nghiên cứu của Coveware cho thấy các khoản thanh toán Ransomware thực tế cũng tăng vọt — từ chỉ hơn 84.000 đô la trong quý 4 năm 2019 lên hơn 233.817 đô la trong quý 3 năm 2020.

Tuy nhiên, bản thân khoản tiền chuộc chỉ là một phần của tổng tiền và thường không phải là một yếu tố khách quan đối với các tổ chức từ chối gia nhập để tống tiền. Ngay cả đối với các tổ chức như vậy, chi phí cho các cuộc tấn công đã tăng đều đặn trong hai năm qua.  Và đây, theo các chuyên gia bảo mật, là 5 trong số những lý do phổ biến nhất khiến điều đó xảy ra.

  1. Chi phí thời gian máy móc bị đóng băng và ngừng hoạt động. Windows 10 freezes randomly [Solved] - Driver Easy

Thời gian ngừng hoạt động được xem như một trong những chi phí hao tổn đáng kể – nếu không muốn nói là lớn nhất – liên quan đến một Ransomware attacks. Các nạn nhân của Ransomware thường có thể mất vài ngày và đôi khi thậm chí vài tuần để khôi phục hệ thống sau một Ransomware attacks. Trong thời gian đó, các dịch vụ thông thường có thể bị gián đoạn nghiêm trọng dẫn đến việc kinh doanh cũng bị gián đoạn theo, mất chi phí cơ hội, mất thiện chí của khách hàng, SLA bị hỏng, mất đi sự uy tín thương hiệu và một loạt các vấn đề khác kéo theo. Ví dụ, phần lớn chi phí của UHS gắn liền với thu nhập bị mất do không có khả năng cung cấp các dịch vụ chăm sóc bệnh nhân như bình thường và sự chậm trễ trong việc thanh toán.

Những vấn đề như vậy thậm chí có thể trở nên tồi tệ hơn. Trong những tháng gần đây, các hacker đã bắt đầu nhắm mục tiêu vào các mạng công nghệ hoạt động để tối đa hóa thời gian “chết” cho nạn nhân và tạo sức ép và buộc họ phải trả tiền. Một ví dụ là một cuộc tấn công vào đầu năm nay vào Công ty bao bì khổng lồ WestRock, đã ảnh hưởng đến hoạt động tại một số nhà máy của công ty và các nhà máy chuyển đổi. Một cuộc tấn công tương tự nhằm vào Honda vào năm 2020 đã tạm thời làm gián đoạn hoạt động tại một số nhà máy của hãng xe bên ngoài Nhật Bản.

Hai phần ba số người được hỏi trong một cuộc khảo sát với gần 2.700 chuyên gia CNTT mà Veritas đã ủy nhiệm vào năm ngoái ước tính tổ chức của họ sẽ mất ít nhất năm ngày để phục hồi sau cuộc Ransomware attacks. Một báo cáo khác từ Coveware cho thấy thời gian ngừng hoạt động trung bình cao hơn đáng kể với mức trung bình là 21 ngày trong quý 4 năm 2020.

Ryan Weeks, CISO tại Datto, cho biết một cuộc khảo sát mà công ty đã thực hiện vào năm ngoái cho thấy chi phí trung bình của thời gian ngừng hoạt động liên quan đến một cuộc Ransomware attacks vào năm 2020 cao hơn đáng kinh ngạc 93% so với chỉ một năm trước. Ông nói: “Thời gian ngừng hoạt động thường tốn kém hơn rất nhiều so với tiền chuộc. “Tỷ lệ chi phí thời gian máy móc ngừng hoạt động ngày càng tăng thực sự khiến “đại dịch” Ransomware càng làm sáng tỏ sự nguy hiểm của nó.”

Dữ liệu của công ty cho thấy thời gian ngừng hoạt động trung bình từ một cuộc Ransomware attacks có thể tốn tới 274.200 đô la — hoặc cao hơn nhiều so với yêu cầu tiền chuộc trung bình. Weeks cho biết, điều này có thể khiến các tổ chức dễ dàng chấp nhận các yêu cầu của hacker. Ông nói: “Ví dụ, vào năm 2018, thành phố Atlanta, Georgia, bị tấn công bởi Ransomware khiến thành phố mất tới 17 triệu đô la để khôi phục lại. Tuy nhiên, bản thân khoản thanh toán tiền chuộc chỉ là 51.000 đô la”.

Những con số như vậy cho thấy sự cần thiết của các tổ chức phải có một chiến lược phục hồi không gian mạng và kế hoạch kinh doanh phù hợp, Weeks nói. Khi xem xét kế hoạch kinh doanh liên tục không gián đoạn, các tổ chức cần suy nghĩ về các vấn đề như mục tiêu thời gian khôi phục (Recovery Point Objective-RTO) — khoảng thời gian tối đa mà hoạt động kinh doanh phải được khôi phục — và mục tiêu điểm khôi phục (RPO) —còn bao lâu nữa trong khoảng thời gian họ cần để lấy dữ liệu vẫn còn ở định dạng có thể sử dụng được. “Việc tính toán RTO giúp xác định thời gian tối đa mà doanh nghiệp của bạn có thể đủ khả năng để hoạt động mà không cần truy cập vào dữ liệu trước khi gặp rủi ro. Ngoài ra, bằng cách chỉ định sử dụng RPO, bạn biết tần suất bạn cần thực hiện sao lưu dữ liệu”, ông nói.

  1. Chi phí kèm theo đến việc tống tiền có thể gấp đôi.

Trong một diễn biến đặc biệt đáng lo ngại, các hacker sử dụng  ransomware đã bắt đầu đánh cắp khối lượng lớn dữ liệu nhạy cảm từ các tổ chức trước khi khóa hệ thống của họ và sau đó sử dụng dữ liệu bị đánh cắp làm đòn bẩy bổ sung để đòi tiền chuộc. Khi các tổ chức từ chối thanh toán, những hacker sẽ làm rò rỉ dữ liệu thông qua các trang darkweb được thiết lập trước vì mục đích phạm pháp này.

Một nghiên cứu do Nikkei của Nhật Bản phối hợp với Trend Micro thực hiện cho thấy hơn 1.000 tổ chức trên toàn thế giới đã trở thành nạn nhân của loại Double Extortion attack  này chỉ trong 10 tháng đầu năm 2020. Hoạt động này được cho là bắt đầu từ một loại khác của Maze ransomware và nhưng sau đó  đã nhanh chóng được nhiều băng đảng bao gồm những kẻ đưng sau của các họ ransomware Sodinokibi, Nemty, Doppelpaymer, Ryuk và Egregor chấp nhận. Bảy phần mười trong số các sự cố Ransomware mà Coveware đã xử lý trong quý trước liên quan đến hành vi trộm cắp dữ liệu.

Candid Wuest, phó chủ tịch nghiên cứu bảo vệ mạng tại Acronis, cho biết: “Việc nhiều nhóm ransomware hiện đánh cắp dữ liệu trước khi mã hóa nó làm tăng nguy cơ rò rỉ dữ liệu. “Điều này có nghĩa là tất cả các chi phí liên quan như thiệt hại thương hiệu, phí pháp lý, tiền phạt theo quy định và dịch vụ xử lí vi phạm dữ liệu có nhiều khả năng cần thiết hơn, ngay cả khi hệ thống đã được khôi phục mà không có bất kỳ thời gian ngừng hoạt động nào.”

Xu hướng này đã làm rối ren phép toán truyền thống liên quan đến các Ransomware attacks. Các nạn nhân của ransomware — ngay cả những người có quy trình sao lưu và phục hồi dữ liệu tốt nhất — giờ đây phải đối mặt với khả năng dữ liệu nhạy cảm có khả năng bị rò rỉ công khai hoặc bị bán cho các đối thủ cạnh tranh. Do đó, các nạn nhân của các Ransomware attacks có thể sẽ phải gánh chịu khoản phạt tài chính từ các cơ quan quản lý, Xue Yin Peh, nhà phân tích tình báo về mối đe dọa mạng cao cấp tại Digital Shadows, cho biết. Việc xuất bản và tiết lộ dữ liệu bị đánh cắp từ nạn nhân có thể cấu thành hành hành vi vi phạm các quy định như GDPR của EU, CCPA của California và HIPAA.

“Nạn nhân cũng có thể phải đối mặt với hậu quả pháp lý dưới hình thức khiếu nại của bên thứ ba hoặc các vụ kiện tập thể”, Peh lưu ý. Khả năng xảy ra sự cố như vậy sẽ tăng lên, khi  việc dữ liệu bị đánh cắp và để rò rỉ bởi những hacker liên quan đến các tổ chức khác — chẳng hạn như tệp dữ liệu của bên thứ ba hoặc dữ liệu khách hàng. “Nếu dữ liệu của người tiêu dùng bị lộ, một công ty cũng có thể phải trả chi phí xung quanh để  thông báo về việc bị vi phạm dữ liệu. Phí bảo hiểm mạng cũng có thể tăng lên do tấn công bằng ransomware attacks.”

  1. Chi phí nâng cấp  cở sở hạ tầng cho CNTT.

Ngay sau khi trải qua hậu quả của Ransomware attack, các tổ chức đôi khi có thể đánh giá thấp kèm theo liên quan không chỉ để ứng phó với sự cố mà còn trong việc bảo vệ mạng khỏi các cuộc tấn công tiếp theo. Điều này đặc biệt đúng trong các tình huống mà một tổ chức có thể cho rằng lựa chọn tốt nhất là trả tiền cho những hacker.

4 Things to Think About when Upgrading Business IT Infrastructure

 

 

Migo Kedem, người đứng đầu SentinelLabs tại SentinelOne, cho biết: “Trong một kịch bản mà việc trả tiền chuộc đã đảm bảo việc giải phóng các máy bị nhiễm, nạn nhân không có gì đảm bảo rằng nhữnghacker không còn quyền truy cập vào mạng lưới doanh nghiệp của họ nữa”. Họ không đảm bảo rằng chúng đã không cấy thêm malware vào hệ thống của họ hoặc chúng đã không bán hoặc chuyển quyền truy cập bất hợp pháp cho một nhóm tội phạm khác. Không có gì đảm bảo rằng sau khi thanh toán, những hacker sẽ ngắt kết nối với máy móc, xóa dữ liệu bị đánh cắp hoặc từ bỏ quyền truy cập của chúng vào mạng nạn nhân.

Để giảm thiểu các cuộc tấn công tiếp theo, các tổ chức thường phải nâng cấp cơ sở hạ tầng của mình và thực hiện các biện pháp kiểm soát tốt hơn. Kedem nói: “Các chi phí ẩn mà nạn nhân không tính đến là chi phí ứng phó sự cố và chi phí nâng cấp CNTT cần thiết để bảo vệ mạng đó khỏi bị tấn công thêm.

  1. Tăng chi phí do trả tiền chuộc.

Nhiều công ty trả tiền chuộc nếu cho rằng nó rẻ hơn so với việc khôi phục dữ liệu từ đầu. Theo các chuyên gia bảo mật, đó là một sai lầm to lớn. Một cuộc khảo sát mà Sophos thực hiện vào năm ngoái cho thấy hơn một phần tư (26%) nạn nhân của ransomware đã trả tiền chuộc cho hacker để lấy lại dữ liệu. 1% khác cũng đã trả tiền chuộc nhưng vẫn không lấy lại được dữ liệu của họ.

Những gì Sophos phát hiện ra là những người trả tiền chuộc cuối cùng phải trả gấp đôi tổng chi phí liên quan đến cuộc tấn công so với những người không trả tiền chuộc. Chi phí trung bình của một cuộc Ransomware attack— bao gồm thời gian “chết”, chi phí sửa chữa và khôi phục thiết bị và mạng, thời gian của con người, chi phí cơ hội và tiền chuộc được trả — cho các công ty đã trả tiền chuộc là khoảng 1,4 triệu đô la so với khoảng 733.000 đô la cho những người không trả tiền.

Lý do là nạn nhân vẫn cần phải làm rất nhiều việc để khôi phục dữ liệu, Sophos nhận thấy. Theo công ty, các chi phí liên quan đến việc khôi phục dữ liệu và trở lại trạng thái bình thường gần giống nhau cho dù một tổ chức khôi phục dữ liệu từ bản sao lưu hay bằng khóa giải mã do kẻ tấn công cung cấp. Vì vậy, trả tiền chuộc chỉ làm tăng thêm những chi phí đó.

  1. Chi phí thiệt hại về danh tiếng

Các cuộc Ransomware attacks  có thể làm giảm đi lòng tin và sự tự tin của người tiêu dùng và dẫn đến việc một tổ chức mất khách hàng và công việc kinh doanh. Một cuộc khảo sát với gần 2.000 người tiêu dùng từ Mỹ, Anh và các quốc gia khác mà Arcserve thực hiện vào năm ngoái cho thấy 28% nói rằng họ sẽ kinh doanh ở nơi khác nếu họ gặp phải sự cố gián đoạn dịch vụ dù chỉ một lần hoặc trải nghiệm mà dữ liệu của họ không thể truy cập được. Hơn chín phần mười (93%) cho biết họ xem xét mức độ tin cậy của tổ chức trước khi mua hàng và 59% nói rằng họ sẽ tránh kinh doanh với một công ty đã trải qua cuộc tấn công mạng trong 12 tháng qua.

Sự xuất hiện gần đây của một nhóm tự xưng là Distributed Denial of Secrets có thể sớm khiến các tổ chức khó xử lý các vụ vi phạm dữ liệu hơn. Nhóm này, đã tự lập mô hình theo đường lối của WikiLeaks, tuyên bố đã thu thập nhiều dữ liệu mà những hacker ransomware đã làm rò rỉ trực tuyến và cho biết họ sẽ công khai dữ liệu này nhân danh sự minh bạch. Nhóm đã công bố dữ liệu của nhiều công ty mà họ cho biết họ thu được từ các trang web và diễn đàn được sử dụng bởi những kẻ khai thác ransomware để rò rỉ dữ liệu bị đánh cắp.

nguồn : csoonline.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật