根据保险提供商Hiscox对数千家中小企业进行的调查,40%支付勒索软件解密赎金的公司未能成功恢复数据。
调查还显示,勒索软件仍是主要威胁,27%的受访企业表示在过去一年中遭受过攻击。在受影响的企业中,80%(包括投保和未投保的企业)都支付了赎金,试图恢复或保护关键数据。
但Hiscox的《网络准备情况报告》发现,只有60%的企业成功恢复了全部或部分数据。
QBE保险公司本月早些时候发布的一份关于网络犯罪和基于云端的威胁的报告显示,2025年第一季度勒索软件事件数量同比增长近两倍,达到1537起,而去年同期为572起。CrowdStrike本月发布的《2025年勒索软件现状调查》也发现,93%支付赎金的受害者仍遭遇了数据被盗。
有缺陷的勒索软件加密常使数据恢复受挫
行业专家表示,Hiscox关于勒索软件受害者困境的统计数据,只是凸显了组织在试图从勒索软件攻击中恢复时所面临的众多困难之一。
网络安全公司Bridewell的应急响应经理James John表示:“60%的数据恢复率反映了在应急响应中经常遇到的几种技术和操作现实情况。首先,勒索软件操作者的技术复杂程度差异很大。虽然像LockBit或ALPHV这样成熟的团伙通常会提供可用的解密器,因为他们要维护自己的‘声誉’,但较小的团伙往往会部署有缺陷的加密实现,或者在收到赎金后直接消失。”
John补充道,解密器通常速度慢且不可靠。
他解释说:“在企业环境中进行大规模解密可能需要数周时间,而且往往无法解密已损坏的文件或复杂的数据库系统。还存在解密过程本身导致更多数据损坏的情况。”
即使提供了解密工具,这些工具也可能包含漏洞,或者导致文件损坏或无法访问。许多组织还依赖未经测试(且存在漏洞)的备份。更糟糕的是,许多勒索软件受害者发现他们的备份在攻击过程中也被加密了。
英国托管安全服务提供商Avella Security的合伙人兼英国政府网络安全顾问Daryl Flack表示:“犯罪分子经常使用有缺陷或不兼容的加密工具,许多企业缺乏干净恢复数据的基础设施,特别是当备份不完整或系统仍存在漏洞时。”
额外的恢复压力
如今的现代勒索软件攻击通常涉及双重或三重勒索,即攻击者威胁在收到赎金后仍要泄露被盗数据或发起DDoS攻击。
这从根本上改变了受害者在决定支付赎金时对结果的预期,因为支付赎金往往无法解决勒索软件攻击带来的许多问题。
Bridewell的John指出:“支付赎金只能解决加密问题,而无法解决更广泛的安全漏洞。”
此外,勒索软件事件会给组织带来巨大压力,法律、运营和声誉问题往往在数小时内集中爆发。
这些因素,再加上与犯罪分子打交道时本身就存在的不确定性,有助于解释为什么支付赎金往往无法实现数据的完全恢复。
Harper James律师事务所数据保护与隐私团队的高级律师Lillian Tsang警告说,即使收到了解密密钥,一些数据也可能已经永久损坏、被篡改或被盗。
Tsang解释说:“这不仅会造成运营上的挑战,还会引发数据保护方面的担忧,特别是涉及个人数据时。如果记录丢失或被泄露,根据英国《通用数据保护条例》(UK GDPR),这可能构成个人数据泄露,需要履行报告义务,并可能面临监管审查。”
Tsang警告说,如果犯罪分子未能兑现承诺,支付赎金并不能为企业提供任何法律追索权,更糟糕的是,“如果资金在不知情的情况下被转移给了受制裁的团伙,支付赎金可能会带来进一步的风险。”
财务承受能力和法律问题
一家日本中型物流公司Kantsu的高管讲述了该公司在遭受勒索软件攻击后恢复运营的经历,这从实际角度说明了勒索软件攻击的影响。Kantsu总裁Hisahiro Tatsujo向记者讲述了该公司在遭受勒索软件攻击后恢复运营的努力。
Kantsu(未支付赎金)不得不向金融机构申请贷款以支付恢复运营的费用,因为尽管该公司投保了,但其保险公司仍需经过理赔流程才能赔付。这一事件表明,企业要想成功从勒索软件攻击中恢复,不仅需要运营计划,还需要财务计划。
此外,当系统因勒索软件攻击而中断时,几乎会立即产生通知监管机构和受影响个人的法律义务,特别是当个人数据因泄露而受到影响时。
Harper James的Tsang表示:“最大的挑战之一是在只有零碎信息的情况下迅速做出高风险的决策。高级领导必须权衡支付赎金的法律风险、对业务连续性的影响以及对个人的潜在后果,而往往在技术上并不明确。”
未雨绸缪
一些专家建议,作为灾难恢复计划的一部分,企业应与应急响应公司保持合作,以应对勒索软件攻击这一太过现实的威胁。
专注于直接威胁情报的网络安全公司Blackwired的首席执行官Jeremy Samide表示:“与一家信誉良好的应急响应或谈判公司保持合作至关重要,这类公司应具备处理加密货币交易的能力。这类公司可以管理谈判,能够使用多种加密货币(如比特币、门罗币、Zcash),并在支付成为唯一恢复途径时安全执行转账。”
Samide补充道:“做好准备并不意味着屈服,而是意味着为每种情况做好准备。”
Harper James的Tsang警告说,不要为支付勒索软件攻击的赎金而预留资金。
Tsang表示:“为支付赎金而预留资金越来越被视为有问题。虽然支付赎金本身并不违法,但它可能违反制裁规定,可能助长进一步的犯罪活动,而且并不能保证取得积极结果。”
Tsang建议,通过强有力的安全措施、经过充分测试的恢复计划、明确的报告协议和网络保险来增强抵御能力,从而获得更安全的法律和战略地位。
Tsang解释说:“网络保险对勒索软件攻击至关重要,因为它不仅提供财务保护,还能让组织获得专业支持,从而显著减少损失和停机时间。”
网络保险政策通常提供积极的危机管理服务,涵盖以下方面:
• 立即应急响应和取证调查
• 受感染系统的控制和修复
• 与攻击者的谈判和法律协调
• 数据恢复和业务连续性支持
Blackwired的Samide表示:“保险不能阻止攻击,但它可以减轻攻击带来的冲击,为混乱局面带来秩序,并确保组织不会独自应对勒索软件危机。”
但其他专家警告说,网络保险仍存在一些注意事项。
Avella Security的Flack表示:“保险费正在上涨,保险公司在提供或续保前现在要求更强的网络安全措施基础,包括多因素身份验证、补丁管理和经过测试的备份。这一转变鼓励组织将更好的安全实践作为其风险管理方法的一部分。”
网络恢复
专家建议,勒索软件攻击后的网络恢复应像灾难恢复一样对待,制定完善的内部恢复计划,并做好充分记录,以便能够自信地恢复未受损害的数据。
Index Engines的首席营销官Jim McGann解释说:“当企业遭受勒索软件攻击时,首要且紧迫的挑战之一是评估攻击的全部范围,确定哪些数据已被泄露,哪些系统受到影响,以及现有备份是否可信。即使有备份可用,验证其完整性也是一大障碍,因为备份中可能包含在恢复过程中会重新引入威胁的损坏或篡改文件。”
McGann建议:“企业现在需要制定内部恢复计划,其中包括对数据进行法医级别的验证,而不仅仅是恢复。”
