Sophos發布《2023 年勒索軟體現況》年度報告發現,在受訪組織遭到的勒索軟體攻擊中,有 76% 的攻擊者成功加密了資料。這是 Sophos 自 2020 年開始發布報告以來,勒索軟體加密資料比例最高的一次。
該調查還顯示,當組織支付贖金來解密資料時,最終的復原成本倍增到了 75 萬美元,其他使用備份恢復資料的組織只需 37.5 萬美元。此外,支付贖金通常意味著需要的復原時間更長。在使用備份復原資料的組織中,有 45% 在一周內即可恢復正常,支付贖金的組織只有 39% 可以辦到。
總體而言,有 66% 的受訪組織受到勒索軟體攻擊,這與前一年的數字相同。這表明儘管有些人認為攻擊有減少的趨勢,但其實勒索軟體攻擊的頻率沒有下降。
Sophos 現場技術長 Chester Wisniewski 表示:「在疫情期間短暫下降後,資料被加密的比例已經回到非常高的水平,這一點令人擔憂。勒索軟體攻擊者不斷改進他們的攻擊方法,並且加快攻擊速度,以縮短防禦者可以採取作為的時間。而且一旦支付贖金,事件成本便會顯著上升。因為大多數受害者無法僅透過購買加密金鑰來復原所有檔案,他們還是必須使用備份進行重建和復原。支付贖金不僅會讓罪犯食髓知味,還會延緩事件回應速度,並再次增加原本就已經非常高昂的復原成本。」
分析勒索軟體攻擊的根本原因後,最常見的是漏洞利用 (占 36% 的案件),其次是被竊的憑證 (占 29%)。這與 Sophos《2023 年給企業領袖的活躍攻擊者報告》中在案例的事件回應發現一致。
報告的其他主要發現包括:
- 在 30% 的案件中,資料遭到加密且遭竊,表明這種「雙重攻擊」的手法 (資料加密和資料外洩) 越來越普遍。
- 教育機構回報的勒索軟體攻擊率最高。在受訪的高等教育機構中有 79% 回報他們成為受害者,初中等教育機構則有 80%。
- 整體而言,受訪者中有 46% 支付了贖金,而且越大型的機構越有可能付錢。事實上,超過一半的年營收超過 5 億美元的企業都支付了贖金,其中以營收最高的企業支付比率最高。原因可能是因為較大型的公司更有可能制定了獨立的網路安全保險政策,用以支付贖金的需求。
Chester Wisniewski 補充說:「三分之二的組織連續第二年回報他們遭到勒索軟體攻擊,這意味著我們可能已經進入了一個高原期。降低這個數字的關鍵在於必須努力縮短偵測和回應的時間。人為引導的威脅捕獵在防範這些犯罪方面非常有效,但我們必須調查警示,在數小時或數天內就將威脅從系統中排除,而不是耗時數週或數月的時間。經驗豐富的分析師可以在幾分鐘內就識別出攻擊者入侵的模式並立即採取行動。這很可能是三分之一的組織能夠保持安全,另外三分之二卻無法倖免的區別。在今日,組織必須全天候保持警惕才能做好有效的防禦。」
勒索軟體任務小組 (Ransomware Task Force, RTF) 執行董事兼安全技術研究所策略長 Megan Stifel 表示:「Sophos 最新的報告提醒人們,勒索軟體仍然是一個大規模且涵蓋範圍極廣的威脅,尤其是對那些容易遭到鎖定且資源不足,卻沒有專責內部資源進行防範、應對和復原勒索軟體的組織來說。
「增強安全的一種方式,就是實施 RTF 的勒索軟體防禦藍圖,這一點與 Sophos 在報告中的發現一致。該防禦藍圖是一個根據 CIS IG1 控制列表的 48 項防護措施所制定的框架。私人和公共部門早該聯手共同對抗勒索軟體,這就是為什麼我們很高興能夠與 Sophos 等網路安全廠商合作的原因。」
Sophos 建議採用以下最佳作法來幫助組織防禦勒索軟體和其他網路攻擊:
- 強化防禦措施:
- 採用能夠防禦最常見攻擊管道的安全工具,包括具有強大的反漏洞利用功能以防止漏洞攻擊的端點保護,以及可以被竊憑證被濫用的零信任網路存取 (ZTNA)。
- 利用自適應性技術來自動回應攻擊、中斷攻擊者的操作,並為防禦者爭取時間以作出回應。
- 24/7 全天候的威脅偵測、調查和回應,無論是由公司內部還是由專業的託管式偵測和回應 (MDR) 供應商提供。
- 最佳化攻擊準備,包括定期備份、練習從備份中復原資料,以及保持最新的事件回應計畫
- 保持良好的安全保健習慣,包括及時安裝修補程式和定期檢查安全工具設定
《2023 年勒索軟體現況》報告的數據來自於一份在 2023 年 1 月 至 3 月之間對 3,000 位資安/IT 領導者所做的獨立調查。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間,營收額從不到 1,000 萬美元到超過 50 億美元不等。