Sophos 日前提出全球調查結果《2021 年勒索軟體現況》,顯示亞太暨日本地區 (APJ) 企業從勒索軟體攻擊復原的平均總費用在一年內暴增一倍以上。在 2020 年時是 116 萬美元,2021 年增加到 234 萬美元。APJ 企業支付的平均贖金為 123,634 美元。調查結果還顯示,只有 5% 的 APJ 企業在支付贖金後能取回所有資料,而 19% 受訪者取回的資料不到一半。
該調查調查了歐洲、美洲、亞太地區和中亞、中東和非洲 30 個國家/地區裡中型企業的 5,400 名 IT 決策者。
雖然 APJ 中遭受勒索軟體攻擊的企業數量從 2020 年受訪者中的 53% 下降到 2021 年的 39%,並且遭到大型攻擊後資料被加密的企業減少了 (2021 年為 68%,2020 年為 81%),但調查顯示出另一個令人擔憂的趨勢,尤其是在勒索軟體攻擊的影響方面。
Sophos 首席研究科學家 Chester Wisniewski 表示:「受到勒索軟體攻擊的企業數量明顯減少是個好消息,但實際上這可能多少反映出攻擊者行為的改變。我們看到攻擊者已從大規模、一般、自動型攻擊轉變為更具針對性的攻擊,包括使用了以人為操作的駭客技術。因此,雖然攻擊總數降低,但我們的經驗發現,這些更進階且複雜的針對性攻擊造成的損害可能更高。這種攻擊也很難復原,我們從調查中可以看到,整體修復成本倍增了。」
《2021 年勒索軟體現況》全球調查的主要發現包括:
- APJ 修復勒索軟體攻擊的平均成本增加了 100 萬美元以上。修補成本 (包括企業停機、訂單損失、營運成本等) 從 2020 年的平均 116 萬美元增加到 2021 年的 234 萬美元。
- APJ 支付的平均贖金為 123,634 美元。在全球調查中,最高一筆支付贖金是 320 萬美元,最常見的支付金額是 1 萬美元。
- APJ 企業支付贖金的比例與去年同期相同為 39%。
Wisniewski 表示:「調查結果證實了一個殘酷的事實,亦即勒索軟體不是付錢就能了事的。儘管有更多的企業選擇支付贖款,但只有很少一部分付錢的企業取回了所有資料。部分原因是因為使用解密密鑰來復原資訊的步驟很複雜。更重要的是,這動作不保證成功。例如,正如我們最近在 DearCry 和 Black Kingdom 勒索軟體中看到的,品質不佳或草率編寫的程式碼和技術發起的攻擊,也可能會使資料復原起來更困難。」
- 大約三分之二 (65%) 的 APJ 受訪者認為,今日的網路攻擊過於複雜,IT 團隊無法自行處理。
- 沒有加密的敲詐行為正在上升。一小部分 (但很重要) 的 3% 受訪者表示他們的資料未被加密,但是還是被勒索了,這可能是因為攻擊者已經竊取了他們的資訊。
Wisniewski 說:「從勒索軟體攻擊中復原可能要花費數年時間,不僅僅是解密和復原資料那麼容易。整個系統都需要從頭開始重建,還考慮到營運中斷和對客戶的影響等。此外,『勒索軟體』攻擊的定義也在不斷改變。對於一小部分 (但只佔少數) 受訪者而言,這種攻擊沒有加密資料,但仍要求支付贖金。這可能是因為他們使用了反勒索軟體技術來阻止加密,或是因為攻擊者選擇不進行加密,而是要求封口費,來換取不外洩竊取的資料。這種作法的最新範例是 Clop 勒索軟體和一群以謀財為動機的攻擊者,他們以純敲詐的方式攻擊了大約十二名受害者。
「簡而言之,越來越重要的是,在攻擊者有機會站穩並發動多面的攻擊之前,就將他們阻擋在外。幸運的是,如果企業不幸受到攻擊,也不必獨自面對這個問題。他們可以尋求外部安全營運中心全天候、以人為主導的威脅搜尋和事件回應服務。」
Sophos 建議採用以下六種最佳做法來協助對抗勒索軟體和相關網路攻擊:
- 假設您會被攻擊。勒索軟體仍然非常流行。任何領域、國家或規模的企業都無法避免這種風險。最好做好準備,而且預防勝於治療。
- 進行備份並使副本保持離線。備份是受訪企業在被攻擊後用來復原資料的主要方法。選擇業界標準的 3:2:1 方法 (三份備份,使用兩種不同的媒體,其中一種保持離線) 。
- 部署多層式保護。由於越來越多勒索軟體攻擊也涉及敲詐,因此重點在於將對手拒之門外。使用多層式保護盡可能阻止攻擊者入侵所有資產。
- 結合人類專家和反勒索軟體技術。阻止勒索軟體的關鍵是將專用的反勒索軟體技術與人為主導的威脅搜尋結合起來的深度防禦。技術可提供企業所需的規模和自動化,而人類專家最有能力偵測出攻擊者試圖進入環境的策略、技術和程序。如果您本身沒有足夠的技術人力,請尋求專業網路安全公司的支援。安全營運中心 (SOC) 現在是各種規模企業的務實選擇。
- 不要支付贖金。說起來容易,但是當企業因勒索軟體攻擊而停擺時,做起來就不是那麼容易了。和任何道德考量無關,支付贖金並不是取回資料的有效方法。如果您決定付款,請記住,攻擊者平均只會還原三分之二的檔案。
- 制定惡意軟體復原計畫。避免網路攻擊變成完全破壞的最佳方法是提前做好準備。遭受攻擊的企業遭到入侵後才意識到,如果他們事先制定事件回應計畫,就可以避免重大的財務損失和破壞。