1. 宕机成本

勒索软件攻击相关成本中，宕机导致的成本即使不算最大，也是比重较大的几项之一了。遭受勒索软件攻击之后，受害者往往需要花费数天乃至数周的时间恢复系统。期间正常服务可能遭到严重干扰，导致业务损失、机会丧失、客户好感度下滑、SLA被打破、品牌声誉跌落等等。例如，UHS的巨额损失就是源自无法像平常一样提供病患护理服务，以及开单延迟。

此类问题甚至还会更加严重。最近几个月，恶意黑客开始对运营技术网络下手，意图延长受害者的宕机时间，增加他们支付赎金的压力。今年早些时候包装巨头WestRock Company遭遇的攻击就是一例，该公司多处制造厂和加工厂的运营受到影响。本田公司在2020年也遭遇了类似的攻击，几间海外工厂暂时中断运营。

Veritas去年委托执行的一项调查面向近2700名IT专业人士，三分之二的受访者估计自家公司至少要花费五天时间才能从勒索软件攻击中恢复。Coveware另一份报告中的平均宕机时间甚至更长，2020年第四季度的平均宕机时间高达21天之久。

Datto首席信息安全官Ryan Weeks称，公司去年的调查显示，2020年勒索软件攻击相关宕机造成的平均成本比此前一年高出了93%，实在令人惊异。他表示：“宕机往往比赎金本身更伤钱。宕机成本的飙升速度让我们不得不慎重对待勒索软件攻击潮。”

该公司的数据显示，源自勒索软件攻击的宕机平均能产生高达27.42万美元的成本，相比平均赎金确实要高得多。这就导致公司企业很容易屈服于攻击者，乖乖支付赎金以求尽快恢复正常。例如，2018年，美国佐治亚州亚特兰大市遭遇勒索软件攻击，该市拒绝支付赎金，系统恢复费用高达1700万美元。然而，赎金本身仅价值5.1万美元。

此类数据表明，企业和机构需要设置考虑周全的网络弹性策略和业务连续性计划。考虑业务连续性计划的时候，企业和机构需关注恢复时间目标(RTO)，也就是业务运营最长在多少时间内必须恢复;以及恢复点目标(RPO)，也就是需回溯到多久之前的可用数据。计算RTO有助于确定公司在无法访问数据的情况下能撑多长时间而不陷入危机。指定RPO则可以弄清楚公司执行数据备份的频率。

2. 双重勒索相关的成本

勒索软件攻击的趋势令人备感忧虑，攻击者开始在锁定系统前盗取大量敏感数据，然后将这些被盗数据作为额外的筹码再行勒索。只要受害者拒绝支付赎金，攻击者就会通过暗网泄露数据。

日本日经与趋势科技联合进行的调查研究发现，仅2020年1月到10月，全球超过1000家企业和机构沦为了此类双重勒索攻击的受害者。据称，此类攻击始于Maze勒索软件家族背后的黑客，然后Sodinokibi、Nemty、Doppelpaymer、Ryuk和Egregor等勒索软件攻击团伙迅速跟进。上个季度，Coveware响应的勒索软件事件中70%都涉及数据盗窃。

Acronis网络防护研究副总裁Candid Wuest称：“事实上，许多勒索软件攻击团伙目前在加密之前盗取数据。这就增加了数据泄露的风险，意味着即便系统宕机时间不长就恢复如初，公司可能也需要承担品牌形象损害、法务费用、监管罚款和数据泄露清理服务等所有相关成本。”

这一趋势颠覆了对勒索软件攻击所致损失的一贯认知。无论数据备份和恢复流程多么完美，勒索软件受害者如今必须直面敏感数据被公开披露或卖给竞争对手的真实可能性。因此，Digital Shadows高级网络威胁情报分析师Xue Yin Peh认为，勒索软件攻击的受害者将不得不承受监管机构经济处罚的冲击。根据欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA)和《 健康保险流通与责任法案》(HIPAA)等监管规定，被盗数据的披露和暴露可能构成数据泄露。

Peh指出：“受害者还可能要面对第三方索赔或集体诉讼等形式的法律后果。”如果被攻击者盗取并披露的数据涉及其他企业和机构，比如第三方数据文件或客户数据，那遭遇此类麻烦的概率还会增加。只要消费者数据被曝，公司就可以预期围绕数据泄露通知的各项成本了。网络保险费用也可能因为勒索软件攻击而上涨。