2025年勒索软件状况

2024 年勒索软件状况 一项独立、独立于供应商的调查结果，针对14个国家负责IT/网络安全的5000名领导者，于2024年1月至2月进行。 2024 年勒索软件状况 引言 Sophos第五份年度研究报告调查了全球组织在现实世界中遭受勒索软件的经历，涵盖了从根本原因到攻击严重程度、财务影响和恢复时间的完整受害者历程。全新的洞察力结合我们先前研究的学习成果，揭示了企业当前面临的现实情况，以及勒索软件的影响在过去五年中是如何演变的。 14countries 今年的报告还融入了全新的研究领域，包括对勒索要求与勒索支付的比较研究，以及更加关注组织收入对其勒索软件结果的影响。此外，首次着重揭示了执法机构在勒索软件修复中的作用。 100-5,000员工组织(50% 100-1,000, 50% 1,001-5,000) 关于报告日期的说明 为了便于比较我们年度调查中的数据，我们将报告命名为调查进行年份的名称：在此案例中，为2024年。我们意识到受访者正在分享他们过去一年的经验，因此许多被提及的攻击发生在2023年。 关于调查 该报告基于Sophos委托进行的一项独立、供应商中立的调查结果，该调查涵盖了美洲、欧洲、中东和亚太地区的14个国家的5,000名IT/网络安全领导者。所有受访者的组织规模均在100至5,000名员工之间。该调查由研究专家Vanson Bourne于2024年1月至2月期间进行，参与者被要求根据过去一年的经验进行回答。在教育领域，受访者被分为低等教育（服务于年龄在18岁以下的学员）和高等教育（服务于年龄超过18岁的学员）。 勒索软件攻击率 收入攻击 去年，59% 的组织遭遇了勒索软件攻击，与过去两年报告的 66% 相比，这是一个虽小但令人欣慰的下降。虽然任何减少都是令人鼓舞的，但有超过一半的组织经历了攻击，因此现在不是放松警惕的时候。 令人鼓舞的是，过去一年所有收入板块均报告勒索软件攻击率有所下降（尽管在5亿至10亿美元区间内降幅不到一个百分点）。 遭受勒索软件攻击的倾向通常随着营收的增加而上升，营收超过50亿美元的组织报告了联合最高的攻击率（67%）。然而，即使是规模最小的组织（营收低于1000万美元）仍然经常成为目标，近一半（47%）在去年遭受了勒索软件攻击。尽管许多勒索软件攻击是由复杂、资金充裕的团伙执行的，但低技能威胁行为者使用原始、廉价的勒索软件的趋势正在上升。 2024 年勒索软件状况 行业攻击 国家攻击 除少数例外外，勒索软件攻击率在不同行业间普遍保持一致，在所涵盖的15个行业中，有11个行业的组织遭受攻击率在60%至68%之间。在本年度的研究中，值得关注的优胜者是国家/地方政府(34%) 和零售(45%) 其中不到一半的受访者表示在过去一年内受到影响。 法国报告了2024年勒索软件攻击的最高比率，74%的受访者表示他们在过去一年中受到了攻击，其次是南非（69%）和意大利（68%）。相反，报告的最低攻击率来自巴西的受访者（44%）、日本的受访者（51%）和澳大利亚的受访者（54%）。 总体而言，九个国家报告的攻击率低于2023年。报告2023年攻击率更高的五个国家均位于欧洲：奥地利、法国、德国、意大利和英国（德国的增长率低于1%）。这或反映了针对欧洲组织的攻击目标增加，或者欧洲的防御能力未能像其他地区那样跟上攻击者行为演变的速度。 有趣的是，这两个政府部门占据着对立的位置，中央/联邦政府报告所有行业中最高的攻击率（68%），是所报告率的二倍。国家/地方政府(34%)。与此同时，这也反映了攻击总体呈下降趋势。中央/联邦政府比率低于该部门2023年的70%。 参见附录，了解各个国家勒索软件攻击率的具体细分情况。 政府差异背后存在几种可能的解释。在一个普遍动荡的年份里，中央政府可能经历了政治动机袭击的增加。结果也可能反映了过去一年中，国家/地方政府组织为增强抗袭击能力所做的努力——或者是在对手回应国家/地方政府部门支付赎金能力有限的情况下，对手采取策略的转变。 过去一年中其他值得注意的行业变化包括： Ì最高攻击报告率个体减少，从80%较低的教育水平)到69%（中央/联邦政府) Ì教育行业不再报告攻击率最高的两项，分别为66%（高等教育) 和 63%较低的教育水平) 今年与去年分别的79%和80%相比 Ì医疗保健是过去一年报告攻击率上升的五个部门之一，从60%上升到67%。 ÌIT、电信和技术不再拥有最低的攻击率，去年有55%的组织受到了影响，这一比例较2023年报告的50%有所上升。 参见附录，了解按行业分类的勒索软件攻击率的详细分解。 受影响的计算机百分比 平均而言，近一半（49%）的组织的计算机受到勒索软件攻击的影响。完全加密整个环境的情况极为罕见，仅有4%的组织的报告称其91%或更多的设备受到影响。在另一端，虽然有些攻击只影响少量设备，但这同样非常罕见，仅有2%的受影响组织表示其受影响的设备少于1%。 受影响设备在受害组织中的百分比 尽管在全球范围内，所有受访者的分布较为广泛，但我们观察到受影响的设备在组织规模和行业方面存在显著差异。 IT、技术和电信报告了受影响设备的最小百分比（33%），反映了该行业通常所见的强大网络防御态势。相反，能源、石油/天然气和公用事业是该领域，攻击影响最为广泛，平均有62%的设备受到影响，其次是医疗保健(58%)。这两个行业面临着比大多数其他领域更高的传统技术和基础设施控制水平，这很可能使得设备安全、限制横向移动以及防止攻击蔓延变得更加困难。 随着收入的增加，受勒索软件攻击影响的计算机资产比例也随之增长，收入低于1000万美元的组织报告的受影响设备百分比仅为收入达到10亿美元或以上的组织的一半（27% vs. 54%）。 有几个因素可能导致这一发现。小型组织不太可能集中管理其所有设备，这减少了攻击在整个系统中扩散的机会。此外，大多数小型企业和初创公司都是SaaS平台的重度用户，从而减少了因勒索软件等威胁导致业务中断的风险。 参见附录，了解受各行业影响的计算机百分比的详细分解。 勒索软件攻击的根本原因 99%的遭受勒索软件攻击的组织能够识别出攻击的根本原因，其中被利用的漏洞连续第二年成为最常被指出的攻击起点。总体而言，这一顺序与我们的2023年研究保持一致。 通过电子邮件的方式被34%的受访者确定为攻击的根本原因，启动恶意电子邮件（即包含恶意链接或附件，可下载恶意软件的信息）的人大约是网络钓鱼（即设计来欺骗读者以透露信息的信息）的两倍。值得注意的是，网络钓鱼通常用于窃取登录详细信息，因此可以将其视为受污染凭证攻击的第一步。 利用漏洞攻击 行业根本原因 虽然所有勒索软件攻击都会带来负面后果，但有些攻击的破坏性比其他攻击更严重。那些攻击始于未打补丁漏洞的组织报告了更严重的后果，而那些攻击始于被盗凭证的组织则包括更高的倾向性： 某些行业在网络安全防御方面存在更普遍的弱点，而对手则迅速加以利用。因此，勒索软件攻击的根本原因因行业而异： Ì能源、石油/天然气和公用事业该领域最有可能成为未修补漏洞被利用的受害者，近半数（49%）的攻击以此方式开始。该行业通常使用比许多其他行业更大量易受安全漏洞的老旧技术，并且可能没有为遗留和已停产解决方案提供补丁 Ì备份是否已被破坏（75%的成功率与54%的受损凭证相比） Ì已对数据进行加密（67%的加密率，而泄露的凭证为43%） Ì政府组织特别容易受到以滥用被盗用凭证为起点的攻击：49%。state/local) 和 47% (中央/联邦)的攻击开始于使用被盗登录数据 Ì支付赎金（支付率为71%对比受影响凭证的45%） Ì内部承担全部赎金成本（31%通过内部资金支付全额赎金，而仅有2%为受损凭证支付） ÌIT、技术和电信和零售两者均报告称，7%的勒索软件事件以暴力攻击开始——或许是因为他们减少了对未修补漏洞和被盗凭证的暴露，迫使攻击者将部分注意力集中在其他方法上。 他们也报告称： Ì总体攻击恢复成本高4倍（300万美元 vs. 针对受损凭证的75万美元）Ì恢复时间更慢（45%花费了超过一个月，而受损凭证为37%） ：参见附录，了解按行业划分的攻击根本原因的详细分析。 .For a deeper dive, read未修补漏洞：最残酷的勒索软件攻击向量 按收入分析根本原因 凭证受损作为一种勒索软件攻击媒介在中高收入群体中达到峰值，并且是2500万美元至5亿美元和5亿美元至10亿美元这两个细分市场的主要攻击原因。尽管漏洞和受损凭证确实受到了大量关注，但恶意邮件是10百万美元至5亿美元组织中报告的首要根本原因。总体而言，基于邮件的威胁占该领域攻击的近一半（49%）。 一般来说，大型组织更有可能遭遇以未修复漏洞为起点的攻击，其中5亿美元以上的细分市场报告了最高比例（38%）的此类攻击。随着组织规模的扩大，其IT基础设施的规模和复杂性可能都会增加，这使得IT团队更难在漏洞被利用前发现并修复所有风险。 后备妥协 尝试的备份妥协 94% 的组织在过去一年遭受勒索软件攻击后表示，网络犯罪分子在攻击过程中试图破坏其备份。这一比例上升到 99%。国家/地方政府,和媒体、休闲和娱乐在行业。最低的妥协尝试率是由报告的分销 在勒索软件攻击中，恢复加密数据主要有两种方式：从备份中恢复和支付赎金。组织备份遭到破坏会使对手限制其受害者的加密数据恢复能力，并加大支付赎金的压力。 和运输，然而即使在这里，超过八十分之一（82%）受勒索软件攻击的组织也表示，攻击者试图访问他们的备份。 备份妥协尝试的成功率 无论原因如何，那些备份遭到破坏的组织报告的后果远比那些备份未遭入侵的组织严重： 在所有行业领域，57%的备份攻击尝试都成功了，这意味着对手能够影响超过一半受害者的勒索软件恢复操作。分析显示，不同行业领域的对手成功率存在显著差异： Ì勒索要价平均数超过那些备份未受影响的数额两倍以上（2.3M美元与1M美元的中位初始勒索要价） Ì备份遭到破坏的组织更有可能支付赎金以恢复加密数据（67% vs. 36%），其可能性几乎是未遭到破坏的两倍。 Ì攻击者最有可能成功地攻破其受害者的备份。能量,石油/天然气和公用事业(79%成功率)和教育(71% success rate) 部门 Ì中位数整体恢复成本对于备份受到损害的案例高达八倍（300万美元 vs. 37.5万美元）。 ÌIT、技术和电信(30%成功率)和零售(47%成功率)报告了最低的备份获取成功率 For a deeper dive, read受损害的备份对勒索软件结果的影响. ：有几个可能的原因导致成功率不同。可能是IT、电信和技术从一开始就拥有更强的后备保护措施，因此比其他行业更抗攻击。它们也可能更有效地检测和阻止攻击者成功之前试图的入侵。 数据加密速率 按行业划分的数据加密率 2024年调查揭示了不同行业加密率存在显著差异。 去年10名中有7名（70%）勒索软件攻击导致了数据加密。虽然这一比率较高，但与2023年报告的76%的攻击中攻击者成功加密数据的比率相比，这仅是一个轻微的下降。 ÌWhile国家/地方政府它报告今年攻击频率最低（34%遭受勒索软件攻击），同时也报告了最高数据加密率，98%的攻击导致数据被加密 Ì金融服务(49%) 接着是零售业 (56%) 报告了最低的数据加密率 Ì分销与运输该行业最有可能遭受勒索软件攻击，其中17%的人表示数据未加密，但仍然被勒索——这一比例几乎是其他任何行业的近三倍。 参见附录，了解按行业划分的数据加密率详细分解。 数据窃取 该研究结果表明不同行业在调查能力水平上存在差异，并且有不同的优先事项。确定数据是否已被窃取需要更高水平的取证能力，并且通常依赖于EDR/XDR工具的日志记录。可能是这样的IT、技术和电信该行业简单地比其他行业更能识别数据盗窃。许多的简洁性能源、石油/天然气和公用事业环境也可能使本行业中的盗窃更