2021年，勒索软件祸害直冲前所未有的高度，勒索软件攻击团伙往往索要数百万美元之巨的赎金，并且很多时候都能得逞。去年6月，全球最大肉类加工企业JBS证实，因勒索软件干扰运营，已向攻击者支付相当于1100万美元的赎金。

2021年5月，Colonial Pipeline给勒索软件攻击者打钱443万美元，不过，在随后的行动中，美国司法部（DOJ）没收了其中230万美元。同样是在5月，因遭受Conti勒索软件滋扰，备份设备供应商ExaGrid向网络犯罪团伙支付了260万美元赎金。

但是，赎金什么的，在收入损失等勒索软件攻击造成的实际成本面前，还只算得上小巫见大巫。对于大多数私营公司而言，勒索软件攻击的成本，甚至攻击本身，都可以隐而不现，这也是上周立法规定所有公司都必须报告赎金支付情况的缘由所在。

另一方面，上市公司则有义务向美国证券交易委员会（SEC）报告对其运营造成实际影响的任何网络事件，包括勒索软件攻击。在SEC注册的大多数上市企业通过填报8-K报表来履行这一义务。（注意：SEC正在制定计划，要求所有上市公司：一旦注册人确定公司经历了重大网络安全事件，必须在四天内上报SEC。）

网络安全媒体CSO仔细查阅SEC的8-K文件之后发现，2020年和2021年期间，有30家上市公司报告了勒索软件事件、支付了勒索软件相关费用，或者收到勒索软件相关的保险赔偿。尽管这些文件大多认定勒索软件攻击非重大级别，或者缺乏详细说明事件处理成本所需的财务数据，但有七份文件记录了足够的成本数据，可供一窥勒索软件事件的成本可能有多高。

七个相关案例简述

1. Sinclair Broadcast Group：这家媒体和广播巨头报告称2021年10月遭遇了勒索软件事件。Sinclair表示自己并未支付赎金，能够依靠备份恢复网络，但发生的一些中断影响了收入和费用。该事件导致广播部门第四季度广告收入损失6300万美元，修复成本为1100万美元。得到保险赔偿后，该公司估算此次网络事件造成大约2400万美元无法挽回的净损失。不过，由于恢复细节仍未确定，这一估计数据可能还会增加。

2. Blackbaud, Inc：2020年5月，云技术公司Blackbaud遭到勒索软件攻击，但该公司成功阻止了攻击者中断其系统访问，并粉碎了攻击者完全加密其文件的意图，最终将攻击者从其系统中驱逐了出去。然而，攻击者删除了其自托管私有云环境中的部分数据副本，Blackbaud还是不得不支付了攻击者索要的赎金。

2020年，Blackbaud的安全事件相关费用为1040万美元，抵消了940万美元的保险赔偿。来自客户或律师的事件相关费用报销索赔大约有570份。2021年7月，法院批准这些诉讼继续进行。2022年2月，Blackbaud签订了一份信贷协议，预计与数据泄露和勒索软件攻击相关的非经常性法律费用高达5000万美元。

3. WestRock Company：2021年1月23日，这家差异化纸张与包装解决方案提供商遭到勒索软件攻击，致使IT和运营技术系统中断。该公司声称，2021年第二季度的销售损失和运营中断造成净销售额减少1.89亿美元，部门收入减少8000万美元。WestRock还表示，事件产生了大约2000万美元的勒索软件恢复成本，主要是支付专业费用。WestRock预计未来将通过网络和业务中断保险挽回勒索软件损失。

4. Radiant Logistics：2021年12月8日，这家物流和多式联运公司遭到勒索软件攻击，运营和IT系统受损。Radiant表示，该事件导致公司12月份营收损失和成本增加，预计将对公司2022财年第二季度的业绩产生不利影响。

该公司指出，在公司下线各个系统之前，攻击者从公司服务器上提取了其客户和员工的相关数据。公司正积极联系可能受这些事件影响的用户。在详细介绍其2021年全年财务数据时，Radiant表示，12月勒索软件相关事件成本为75万美元，其中包括第三方取证专家和其他IT专业费用、法律费用以及增加的加班费和员工相关费用。

5. Mineral Technologies：2020年10月26日，这家矿物技术公司遭到Egregor勒索软件攻击。Mineral表示，2020财年遭遇勒索软件攻击后，公司在系统恢复和风险缓解方面产生了400万美元的费用。

6. Benchmark Electronics：这家电子工程公司最初于2019年11月5日报告称遭到勒索软件攻击，攻击导致客户和员工一度无法访问其系统和服务。受攻击影响，该公司2019财年支付了768.1万美元的勒索软件事件相关费用。到2021年底，大概是获得了保险赔偿，Benchmark Electronics补上了其中398.9万美元。

7. Faneuil：身为ALJ Regional的子公司，这家业务流程外包解决方案提供商于2021年8月18日检测到勒索软件攻击。Faneuil展开调查并聘请法律顾问和其他事件响应专业人员，实施了一系列遏制和补救措施来缓解事态，并通过主流网络安全公司加强其信息技术系统安全。受此事件影响，Faneuil付出了大约280万美元的费用和罚款。Faneuil确认应获得190万美元保险追偿，目前收到130万美元保险赔付。余下的保险赔偿款预计在2022年3月31日之前付清。

勒索软件缓解过程矫正技术债务

Recorded Future情报分析师Allan Liska向媒体透露：“恢复过程中有很多我们通常考虑不到的费用。只要不打算不支付赎金，就必须恢复所有机器。因此，你得准备好面对事件响应开支和随之而来的一切费用。你觉得这可能就是几百万美元。但是，除此之外，应该计入其中的费用还有很多，比如Blackbaud遭遇的巨额法律费用。”

Liska补充道：“另一项应该计入勒索软件恢复费用的大笔开支，是勒索软件缓解过程中补上的技术债务：那些应该实现但却搁置多年的项目。我们两年前就应该实现多因素身份验证了。现在，经历勒索软件攻击之后，我们总算能开工了。经历勒索软件攻击之后开放安全预算几乎成了常规，而这些钱势必来自别的地方，不属于原先的安全预算。于是，跟乾坤大挪移似的，最终算成了勒索软件费用。”

来源:数世咨询