Atlanta Chi Tiêu $2.6 Triệu Để Khôi Phục Sau Một Sự Cảm Ransomware $52,000

Thành phố Atlanta đã chi hơn $2.6 triệu cho các biện pháp khẩn cấp để đáp ứng một cuộc tấn công ransomware làm suy dinh dưỡng hoạt động của thành phố tháng trước. Những kẻ tấn công, người đã nhiễm bệnh hệ thống của thành phố bằng phần mềm độc hại SamSam, yêu cầu một khoản tiền chuộc khoảng $50,000 giá trị bitcoin. (Giá chính xác đã dao động do biến động của bitcoin.) Các quan chức Atlanta chưa nói liệu họ đã thanh toán tiền chuộc hay không, hoặc thậm chí có thử không, nhưng có vẻ như họ có thể chưa có cơ hội; những kẻ tấn công nhanh chóng đưa cổng thanh toán offline và để thành phố tự bảo vệ. Cho đến nay, quá trình phục hồi đã tốn kém hơn nhiều so với yêu cầu ban đầu.

Trong khi cộng đồng an ninh và an ninh chung nói chung khuyến khích nạn nhân không nên thanh toán tiền chuộc - nó chỉ sẽ khuyến khích chúng, điều logic đi - đôi khi không phải là một cách rõ ràng. Nó làm rối thêm vấn đề khi những kẻ tấn công có chủ ý đặt giá chuộc của họ ở mức họ nghĩ rằng nạn nhân có thể chi trả. Họ muốn tối đa hóa số tiền mà họ rời khỏi, trong khi vẫn cung cấp một "mặt hàng giảm giá" cho mục tiêu so với việc làm việc để xây dựng lại hệ thống và khôi phục từ bản sao lưu. Chính phủ Hoa Kỳ "không khuyến khích thanh toán tiền chuộc cho các diễn viên tội phạm," FBI chú ý trong một tài liệu "Phòng chống và Phản ứng trước Ransomware." "Tuy nhiên, sau khi hệ thống đã bị xâm phạm, việc có nên thanh toán tiền chuộc là một quyết định nghiêm túc, đòi hỏi đánh giá tất cả các tùy chọn để bảo vệ cổ đông, nhân viên và khách hàng. Nạn nhân sẽ muốn đánh giá khả năng kỹ thuật, tính thời gian và chi phí khởi động lại hệ thống từ bản sao lưu."

Mỗi tình huống, nói cách khác, đều có phép tính tài chính và đạo đức riêng. Trong trường hợp của Atlanta, từ chối thanh toán và đầu tư vào biện pháp khắc phục có thể sẽ cải thiện khả năng phòng thủ mạng của Atlanta trong dài hạn. Nhưng việc thanh toán một khoản phí để thực hiện những cải tiến này trong thời kỳ khẩn cấp đã tiêu thụ hết ngân sách của người đóng thuế mà có thể đã được chi tiêu ở nơi khác. Và mặc dù hóa đơn có vẻ cao, thực tế đó không hoàn toàn nằm ngoài dự tính cho việc khắc phục ở quy mô này.

"Số tiền mà Atlanta trả có lẽ không phải là một món hời, nhưng tôi nghĩ họ có thể đã làm khá tốt," nói Chris Duvall, giám đốc cấp cao của Nhóm Chertoff, chuyên về quản lý rủi ro. "Chúng tôi có một khách hàng tư nhân, một công ty tương đối nhỏ có doanh số bán hàng khoảng 60 triệu đô la, họ cuối cùng đã trả khoảng 3.1 triệu đô la sau một cuộc tấn công ransomware, bởi vì họ đã có tất cả các phản ứng sự cố, cùng với yêu cầu bồi thường bảo hiểm, giám sát quyền riêng tư và các đòn bẩy hợp đồng cho dịch vụ bị bỏ lỡ. Nó có thể rất đắt đỏ, và phòng thủ không phải là một điều dễ dàng."

Mặc dù một đô thị không có những nghĩa vụ cụ thể như một công ty tư nhân, nhưng vẫn có nhiều xem xét và chi phí quan trọng. Cuộc tấn công ransomware của Atlanta ảnh hưởng đến năm trong số 13 bộ phận chính phủ địa phương của thành phố, và làm gián đoạn nhiều chức năng mà mọi người phải phụ thuộc vào hàng ngày, bao gồm hệ thống ghi chú của Sở Cảnh sát, các yêu cầu bảo trì cơ sở hạ tầng và hệ thống tư pháp. Cuộc tấn công cũng làm chậm quá trình thu thuế; cư dân không thể thanh toán hóa đơn nước của họ trong vài ngày. Thành phố không trả lời yêu cầu từ MYTOUR để bình luận.

Trả tiền chuộc từ trước có thể đã giúp Thành phố Atlanta tiết kiệm thời gian và tiền bạc - và trên giấy có thể đã tốn ít đến mức độ cả mười lần so với phương pháp chữa trị cuối cùng - nhưng nó không phải là một cuộc gọi đơn giản như nó có vẻ. Các quan chức thành phố không có bảo đảm rằng những kẻ tấn công sẽ thực sự giải mã hệ thống của họ sau khi thanh toán. Hoặc thậm chí nếu những hacker giải mã các thiết bị bị nhiễm, cơ sở hạ tầng số của thành phố vẫn có thể bị suy weaken bởi cuộc tấn công. Cũng có bằng chứng cho thấy Atlanta đã tồn tại chậm trễ trong việc giải quyết các lỗ hổng đã biết trong các mạng của mình, vì vậy việc tận dụng cuộc tấn công ransomware như là một cơ hội để đầu tư vào phòng thủ đúng cách có thể mang lại sự an tâm hơn là đơn giản chỉ là thanh toán tiền chuộc và tiếp tục trì hoãn nâng cấp có ý nghĩa.

"Hỗ trợ khẩn cấp và chi phí làm thêm là một chi phí cực kỳ cao so với việc xử lý vấn đề một cách đơn giản," nói Jake Williams, người sáng lập công ty an ninh mạng Rendition Infosec. "Nói cách khác, những cải tiến có thể đã tốn 100,000 đô la trong ngân sách thông thường có thể tốn hơn 300,000 đô la trong chi tiêu khẩn cấp trong một sự cố."

Mặc dù nó có vẻ hấp dẫn khi nói rằng đáng giá để tiết kiệm dễ dàng bằng cách thanh toán tiền chuộc, nhưng các chuyên gia ngần ngại không bao giờ khuyến khích nó. Thay vào đó, họ nhấn mạnh rằng đầu tư vào cập nhật phần mềm, bản sao lưu và phân đoạn mạng ngay bây giờ có thể thực sự trả lại cho các tổ chức sau này nếu chúng bị mục tiêu của ransomware.

"Có thể là niềm tin Pollyanna, nhưng nếu bạn trả tiền, bạn chỉ đang nuôi dưỡng vấn đề," nói Dave Chronister, người sáng lập công ty phòng thủ doanh nghiệp và chính phủ Parameter Security. "Nó chỉ hoạt động nếu mọi người thực sự trả tiền, và thay vào đó, số tiền đó có thể đi xa để thực sự sửa chữa đồ của bạn trước."

Điều này không giúp Atlanta nhiều. Nhưng nó có thể giúp thành phố tiếp theo mà những kẻ tấn công SamSam tấn công.

Kinh hoàng Ransomware

• Ransomware SamSam tấn công Atlanta hầu như chắc chắn sẽ tấn công lại
• Dù SamSam có độc hại nhưng nó chẳng bằng WannaCry, cuộc sụp đổ ransomware mà các chuyên gia đã cảnh báo từ nhiều năm trước
• Không phải tất cả ransomware đều là như vậy; cuộc tấn công hủy diệt NotPetya năm ngoái được triển khai bởi Nga như là một cuộc tấn công che đậy mỏng manh vào Ukraine