Emsisoft - 2019年美国勒索软件现状

宣布时间 2019-12-20

尊龙凯时·(中国区)人生就是搏!


本报告原妄想于2020年1月1日宣布,可是,由于最近爆发的勒索软件攻击事务可能导致市政府的数据落入网络犯法分子的手中,我们决议连忙宣布本报告。我们以为这种生长转变已将勒索软件威胁提升到了新的危急水平,各地政府必需连忙接纳行动提升清静性并减低危害。若是不接纳步伐,政府敏感数据被盗和泄露的类似事务将会继续爆发。我们希望提早宣布本报告有助于尽早睁开讨论和寻找可用的解决计划。我们以为这些解决计划的需求很是迫切。我们将在新年到来时更新本报告中的数据,但不幸的是,险些可以一定将会大于目今的数字。



2019年12月14日更新 -在此报告宣布后的24小时内,新奥尔良市和其他几个公共机组成为勒索软件攻击的最新受害者。我们重复以上忠言:现在威胁级别极高,政府必需连忙接纳行动增强其防护能力和减微危害。



威胁配景


在2019年,美国遭遇了亘古未有的、一连一直的勒索软件攻击,至少948个政府机构、教育机构和医疗机构遭到攻击,潜在损失可达75亿美元。受影响的组织包括:


●103个州、市政府和机构

759个医疗服务提供商

86所大学、学院和学区,可能影响多达1224所学校的运营


这些事务不但带来了腾贵的贫困,它们造成的破损使人们的康健、清静和生命处于危险之中。


急症病人必需被转移到其它医院

医生无法会见病历,某些情形下病历永世丧失

手术被作废,检查被推迟,入院也被暂停

911服务中止

派遣中心只能使用纸质地图和纸张纪录跟踪外勤的应急服务职员

警员被锁定在后台检测系统之外,无法会见犯法历史、拘捕令等信息

监控系统离线

刷卡器和修建物会见控制系统阻止事情

牢狱门无法被远程翻开

学校无法会见学生的用药纪录或过敏数据


“2019年没有已确认的由勒索软件攻击导致的殒命案例仅仅是由于好运,但2020年好运可能不会一连。政府和医疗、教育部分必需做得更好。” —Emsisoft首席手艺官Fabian Wosar。


事务的其它影响包括:


房地产生意中止

无法开具水电费单

非营利组织的捐赠款被推迟了几个月

网站离线

在线支付系统无法会见

邮件和电话系统阻止事情

无法揭晓或更新驾照

供应商的付款被延迟

学校关门

学生效果丧失

纳税阻止日期被迫延伸


本报告探讨了事务的本钱和缘故原由,并对应接纳的行动计划和行业细分举行了讨论。


事务本钱


由于缺乏果真可用的数据,因此准确估算这些事务的本钱是一个不可能的使命。Winnebago县首席信息官Gus Gentner于9月宣布的一份声明或许是对潜在本钱的最好例证:“统计数据告诉我们,勒索软件事务的平均本钱为810万美元和287天的恢复时间。”


我们无法谈论该声明的准确性,但若是准确的话,2019年勒索软件事务的总本钱可能凌驾75亿美元。只管我们以为这高估了现实的本钱(一个小型学区的恢复用度不太可能抵达7位数),但它仍然批注晰这些事务的重大财务影响。


应当指出的是,这些事务还爆发了更普遍的经济影响。例如,在某些案例中,公司无法获得举行某些事情所需的允许和文件,从而扰乱和延误了企业运营。对这些用度举行估算凌驾了本报告的讨论规模。


事务缘故原由


由于组织现有的清静误差以及专为使用这些误差而设计的日益重大的攻击机制的生长,勒索软件事务在2019年急剧增添。这些因素配合造成了一场近乎完善的风暴。在已往的几年中,清静性不佳的组织过的逍遥自在,但在2019年,他们不得不支付了更大的价钱,无论是象征意义上照旧字面意义上。


密西西比州审计专员在2019年10月宣布的一份报告指出,“州政府忽视了网络清静”,“许多州机构的运作就像州和联邦网络清静法并不适用于它们一样”,并指出了以下问题:


没有适当的清静战略计划或灾难恢复妄想。

未执行执法划定的危害评估。

没有加密敏感信息。

该报告还指出:“凌驾一半的受访者体现其遵守企业清静妄想的比例缺乏75%”。该妄想确定了执法划定的最低清静要求。

应当指出的是,只有少数州举行了整个州规模内的审计,只管密西西比州的审计发明了许多严重问题,但它仍然是2019年受勒索软件影响最小的州之一。这引发了一个显着的疑问:其它州的审计效果展现出它们的清静性比密西西比还要差吗 ?


马里兰州巴尔的摩县大学(University of Maryland,Baltimore County)的2019年调研报告基于在天下规模内对美国地方政府网络清静性的视察数据指出:“其网络清静实践的严重阻碍包括这些政府内部缺乏对网络清静的准备以及为此提供资金”, “整体上地方政府在治理网络清静方面做得很差。”该报告发明的问题包括:


略微凌驾三分之一的受访者不知道清静事务爆发的频率,近三分之二的受访者不知道其系统被入侵的频率

只有少数地方政府报告说,他们具有很是好或极好的检测、阻止和从可能对其系统造成倒运影响的事务中恢复的能力

不到一半的受访者体现,他们对攻击举行了分类或统计


在某些情形下,政府甚至没有实验最基本的IT最佳实践。例如,巴尔的摩履历了数据丧失事务,由于其数据仅生涯在没有备份机制的终端用户系统上。


我们的研究批注,大大都美国地方政府在实验网络清静方面做得很差。他们必需做得更好。他们可以首先在整个组织中建设网络清静文化,以更好地掩护公民信息并维持一连的服务交付。” — UMBC信用教授Donald F. Norris博士;Laura Mateczun,法学博士,UMBC公共政策博士研究生。


纵然在执法要求的情形下,政府也未能实验基本的和公认的最佳实践,这一事实只能被形貌为严重疏忽大意- 特殊是这些机构很是清晰他们很可能成为目今网络攻击运动的目的。这一事实没有任何捏词。他们需要做得更好。他们必需做得更好。


除非政府改善其网络清静状态,不然针对他们的网络攻击将继续乐成。


应当接纳的步伐


万能仙丹是不保存的。为了使公共机构更清静,更禁止易受到勒索软件攻击和其他清静事务的影响,必需接纳多种步伐。


刷新清静标准和羁系:密西西比州审计专员的报告和UMBC的研究均批注政府清静保存重大缺陷。为解决此问题,所有提供要害服务的政府机构和其他组织都应遵守联邦或州划定的基准清静标准,并接受审计以确保切合这些标准。别的,鉴于密西西比州的案例清晰地批注执法和审计纷歧定导致合规,因此需要建设机制,迫使机构遵照这些标准。


更多指导:网络清静很是重大,准确解决这一挑战可能很是难题,尤其是关于小型机构而言。小都会的市政政府需要抵达与大都会类似的清静级别,可是它们用于实现这一目的的人力和财力却较少。组织越小,挑战就越大。为了抵达知足的清静水平,哪些是组织必需要做的呢 ?小型学区应该投资于年度渗透测试、第三方网络清静监控,照旧两者都不投资 ?现在,纵然是最小的组织也需要举行自己的研究,并自行做出决议。这既是不须要的资源铺张,又是灾难的泉源,由于显然许多组织没有做出准确的决议。因此,如上所述,需要建设基准清静标准。其主要性不但在于可接受的清静标准始终可以抵达,并且可以确保预算花在该花的地方。


清静债务和资金:对IT的投资缺乏已导致许多组织爆发清静债务,而清静缺陷是该债务的效果。凭证UMBC的研究,凌驾50%的政府以为缺乏资金是网络清静的障碍,这险些一定也是教育和医疗保健行业面临的问题。解决该问题可能只需要组织重新分派其现有预算,或者可能需要联邦或州政府提供特另外资金。无论哪种情形,这都是必需解决的问题。


镌汰情报空缺:现在,公共实体没有报告或披露勒索软件事务的执法要求,因此,有关事务的数据很少。可是,诸如所使用的勒索软件病毒、攻击前言、所使用的误差以及事务的财务影响之类的信息至关主要,由于它可以资助其他组织更好地相识威胁状态并更好地评估其清静优先级别。例如,若是组织知道哪些弱点使其它组织受到损害,则可以确保它们没有相同的弱点。为了镌汰情报空缺,应该引入报告方面的要求,并要求对网络的数据举行汇总、匿名化和共享。正如Algirde Pipikaite(天下经济论坛)和Marc Barrachin(标准普尔)最近所说的那样,“信息就是实力,在网络清静中,信息就是避免其他类似事务爆发的实力。”


更好的公私部分相助:在公共部分和私营部分之间建设更强的相同渠道关于协调反勒索软件的事情很是主要。共享情报将使两个部分都能更有用地响应事务,并镌汰受影响实体的恢复本钱。共享情报尤其主要,由于出于多种缘故原由,清静公司并不可总是对他们规避勒索软件的要领完全透明或是将这些要领的细节果真。例如,勒索软件团伙若是能够意识到1)这些过失的保存以及2)一家清静公司正在起劲使用它来资助受害者,便能够修复其代码中的过失。因此,需要一种能够使信息在联邦和州执法机构、其他清静公司和事务响应公司之间清静共享的要领。若是没有这样一种相同渠道(现在也不保存),则受影响的机构可能不会发明有可用的解决计划,并且可能不须要地支付赎金或不须要地导致其它用度。从起劲的方面来看,美国参议院最近通过的《DHS网络征采和事务响应小组法案》无疑是朝准确的偏向迈出了一步。


对支付赎金举行立法限制:在某些情形下,公共机构选择支付赎金,由于这样做比其他恢复计划的本钱更低。例如,Lake City选择支付460,000美元的赎金,纵然该市可能已经能够通过其他方法恢复数据。凭证ProPublica的报告,“(Lake City)市长维特(Witt)在一次采访中说,他知道从备份文件中恢复的事情,但宁愿让包管公司支付赎金,由于这关于该市来说越发自制。他说:“我们支付了10,000美元,希望我们能恢复正常运作。”基于简朴的本钱效益剖析来做出此类决议是不应该的。是否使用公民的纳税来送还勒索者的问题不是一个通例的商业决议,最自制的选择纷歧定是最佳选择。通过支付赎金,公共机构正在激励网络犯法分子并资助延续他们的犯法周期。虽然一揽子禁令可能不切现实,但政府显然应该思量制订立法,避免公共机构在有其他恢复选择的情形下支付赎金。虽然这可能最初会增添本钱,但从久远来看,它的本钱会更低。希奇的是,美国政府对人质赎金接纳了不让步的政策,但对数据赎金没有任何限制。 在这两种情形下,拒绝知足勒索者的要求都会抑制其它的勒索妄想,虽然,反之亦然。


供应商和服务提供商必需做得更多:可以一定地说,每个公共实体都有适当的清静解决计划,只管云云,许多公共机构仍然受到勒索软件的影响。这并缺乏够。供应商和服务提供商需要站稳脚跟,举行立异、协作,并做更多事情来掩护他们的客户和客户的客户。例如,通过治理服务提供商(MSP)使用的远程监视和治理(RMM)工具,攻击者在2019年提倡了大宗的勒索软件攻击,使MSP的多个客户同时受到攻击 - 一次事务中凌驾400个。这些攻击是完全可以预见的,并且大大都是可以预防的。在大大都情形下,由于RMM上未启用双因素或多因素身份验证,因此攻击获得了乐成。只管RMM支持2FA / MFA,但供应商并没有强制使用它,一些MSP选择不使用它。大大都RMM供应商都是在其解决计划被用作大规模勒索软件攻击的跳板之后才强制使用2FA /MFA。这是不可接受的。行业需要越提议劲自动,而不是被动响应,服务提供商不应将便当性置于清静性之上。


看法与洞察


网络包管:拥有网络包管的组织可能更倾向于支付勒索赎金,这导致勒索软件比其他情形更有利可图,并刺激了进一步的攻击。“似乎许多政府从这些攻击中吸收的教训不是他们需要更好的网络和数据掩护以及更有用的事务响应妄想,而是他们最需要的是提供更多的包管来资助支付赎金- 这种征象只会助长更多勒索软件攻击和带来强盛、资金充裕的犯法分子,” 约瑟芬·沃尔夫(JosephineWolff)说,他是塔夫茨大学弗莱彻学院网络清静战略助理教授。需要明确的是,这并不是说公共机构不应该购置网络包管,相反,这可能是一项很是明智的投资,而是不应将包管视为资金和资源完整的清静妄想的替换计划。


事务是可以预防的:只管在2019年有948个政府机构、学区和医疗保健服务商受到勒索软件的影响,但没有一家银行披露过勒索软件事务。这不是由于银行没有成为目的,而是由于它们具有更好的清静性,使得针对它们的攻击不太可能乐成。纵然政府机构只是简朴地遵照行业标准的最佳实践(例如确保备份所有数据并在使用数据的任何地方使用多因素身份验证),那么仅此一项就足以镌汰乐成攻击的次数和它们的严重性以及造成的破损。


备份不是万能仙丹:组织对勒索软件危急的反应通常只是投资于更好的备份系统。设计优异的备份系统应避免备份被加密或删除,但在勒索软件事务爆发后使用这些备份将系统重修到完全可运行状态的历程可能需要数周或数月的时间,在此时代组织将继续遭受重大损失。因此,需要将重点放在预防和检测上,尤其是在诸如医院等提供要害服务且无法遭受宕机时间的组织中。尤其是,组织应假设自己的界线将被破损,并监视其情形以寻找入侵的迹象。例如,经常用作攻击跳板的Emotet可能在网络上保存数天、数周甚至数月才被用于安排勒索软件。这为组织提供了一个时机窗口,在此时代可以在勒索软件攻击爆发之前检测并消除威胁。鉴于勒索软件攻击时代数据被泄露和果真的危害增添,预防和检测尤为主要(请参阅下文)。需要明确的是,我们绝不轻视备份的主要性。所有组织都必需拥有一个强盛而清静的备份系统,这一点至关主要。


数据泄露:11月,对清静职员设置公司AlliedUniversal 的勒索软件攻击导致数据不但被加密,并且被泄露,并且其中的一部分被果真。攻击者将剩余的未果真数据看成特另外筹码,威胁要在AlliedUniversal不支付赎金的情形下将其果真。我们预计诸云云类的“双重攻击”攻击会越来越普遍。这是一个极其令人担心的生长,特殊是思量到公共部分机构所拥有数据的极端敏感性,并且进一步批注需要将重点放在预防和发明上。


按行业细分


州、市和其他政府机构


2019年,至少有103个政府实体受到勒索软件的影响,其中值得注重的事务包括:


巴尔的摩:5月7日,巴尔的摩市政府的盘算机熏染了一种名为RobbinHood 的危险勒索软件。这次袭击险些扰乱了每个政府部分,并且由于房地产生意无法完成,还影响了房地产市场。该市拒绝支付13比特币(凌驾75,000美元)的赎金。恢复本钱预计凌驾1800万美元。


里维埃拉海滩:6月,当警员局员工翻开恶意电子邮件附件时,佛罗里达州里维埃拉海滩遭到勒索软件攻击。这次攻击关闭了许多服务,包括都会的网站、电子邮件服务器和计费系统。里维埃拉比奇市议会一致投票赞成支付60万美元的赎金要求,并向新硬件投资了90万美元以重修其IT基础架构。


新贝德福德:7月,马萨诸塞州新贝德福德遭到Ryuk勒索软件攻击,该软件对158台盘算机的数据举行了加密。攻击者要求支付530万美元的赎金,这是其时果真披露的最大一笔赎金,并拒绝了该市的40万美元还价。恢复本钱预计不到100万美元,该市预计将用包管支付。该事务导致向非营利组织的捐赠款支付延迟了三个月以上。


教育


至少有86所大学、学院和学区受到影响,中止了多达1,224所学校的运营。


路易斯安那州的公立学校:7月,路易斯安那州州长约翰·贝尔·爱德华兹宣布进入紧迫状态,由于三个公立学区– Sabine,Morehouse和Ouachita –成为勒索软件的受害者。该州调动了包括路易斯安娜国民警卫队、路易斯安那州警员、手艺服务办公室等机构的网络清静专家在内的州资源来资助学校。11月州长再次宣布进入紧迫状态,其时勒索软件攻击影响了路易斯安那州5,000台网络服务器和1,500多台盘算机中的10%。


罗克维尔中心学区:7月25日,罗克维尔中心学区被Ryuk勒索软件熏染。该地区的包管公司通过协商将最初的赎金要求从176,000美元降至88,000美元。该地区的包管公司支付了赎金,只管RCSD支付了$ 10,000。


拉斯克鲁塞斯公立学校:10月下旬,勒索软件攻击迫使总部位于新墨西哥州拉斯克鲁塞斯学区的公立学校关闭了数千台服务器和装备。该地区未与攻击者谈判。他们需要重新名堂化约30,000个装备,并重新装置操作系统,然后才华使用它们会见互联网。这是已往六年来拉斯克鲁塞斯公立学校第三次遭到袭击。


医疗保健


医疗保健组织遭受着支付赎金的重大压力,由于不支付则可能导致危及患者生命。医疗保健行业是2019年最受接待的勒索软件攻击目的,至少759家服务提供商受到了勒索软件的影响。


WoodRanch Medical:8月10日,总部位于加利福尼亚州的Wood Ranch Medical遭受了勒索软件攻击,5,835名患者的病历无法会见。在攻击历程中,该医院的备份系统也被加密,因此无法恢复数据。该事务很是严重,以至于该医院宣布将永世关门。无独吞偶,今年早些时间,密歇根州的Brookside ENT和听力中心也在受到勒索软件攻击后关门了。


坎贝尔县卫生局:9月,怀俄明州吉列的坎贝尔县卫生局在遭受勒索软件攻击后面临严重破损。手术被作废,急诊室病人被转移到其他医疗机构,医院被迫阻止接受新的住院病人。袭击爆发周围后,诊所仍然无法会见患者的信息。


DCH Health Systems:10月,阿拉巴马州医疗集团DCH HealthSystems(包括Tuscaloosa、Fayette和Northport的医院)遭到Ryuk勒索软件的袭击。医院被迫阻止接纳所有新的非重病患,并且由于无法获得数字纪录,医务职员不得不依赖笔和纸张事情。DCH能够从备份中还原某些服务器,但照旧支付了一笔未披露的用度以重新获得对其他被加密系统的会见。


结论


与其他营业一样,犯法营业也追求已被证实有用的战略。事实证实,针对政府、医疗保健服务商和教育机构的勒索软件攻击确实很有用,因此这些行业在2020年可能继续成为主要目的。别的,鉴于攻击者现在可获得的财务资源以及可观的利润,这些行业的企业应该明确攻击的重大性和频率可能都会增添,并且犯法分子可能会以果真数据作为威胁支付赎金的特殊攻击手段。


支付赎金会激励勒索软件攻击的爆发。阻止勒索软件的唯一要领是使其无利可图,这意味着公共部分必需实践更好的网络清静性,从而不必支付勒索用度。

政府必需接纳行动,并且是现在。


“ 2020年不必是2019年的重复。对职员、流程和IT举行适当的投资将导致勒索软件事务的爆发率大大降低,并且爆发的事务不会那么严重,破损力更弱,本钱也更低。” –Emsisoft首席手艺官Fabian Wosar。


声明:本报告只是为了学习研究而翻译,无出书、发售等任何商业行为,因此差池任何版权问题肩负责任。

原文链接:https://blog.emsisoft.com/en/34822/the-state-of-ransomware-in-the-us-report-and-statistics-2019/


PDF网盘链接:https://pan.m.hyhths.com/s/1LPi-8PbusYv5mKlr3oHATA

提取码:ieim