2025年勒索软件趋势和主动策略

勒索软件攻击在不断演变，发展的速度和复杂性都超过了以往。有一点是肯定的 ：勒索软件的无孔不入的威胁将在2025年及以后继续困扰组织。无论这些攻击是来自成熟的组织，还是越来越多的“独狼”威胁源起方，如果未能做好充分准备，都会使组织损失大量的时间和金钱，以及利益相关者之间的信任。为了帮助应对这些持续存在的网络威胁，我们的《2025年从风险到韧性报告》展示了组织可以采取的几个可行步骤，以降低风险并更快地从攻击中恢复。我们调查了全球1,300家组织，以了解首席信息安全官（CISO）、安全专业人员和IT领导者如何从网络威胁中恢复。从攻击中恢复得更快的公司所提供的经过实践检验的策略，反映了所有组织都应考虑实施的一套网络韧性最佳实践。有一些好消息。与2024年的调查相比，1至少一次勒索软件攻击导致加密或数据泄漏影响的公司比例从75%略微下降到69%。这种下降可能源于组织持续改进其准备和韧性实践，以及IT和安全团队之间加强协作。各国政府也联手打掉了主要的勒索软件组织，从而导致威胁源起方调整并改变了更广泛的攻击动态。评估2025年勒索软件威胁和防御要点概述 ： 受到我们的分析揭示了2025年影响勒索软件威胁格局的六大趋势，以及可帮助企业增强韧性的数据支持见解。从“猫捉老鼠”战术和泄漏的增长，到赎金支付的减少和利益相关者之间合作的加强，我们研究了持续性威胁的格局，以及成功企业如何降低勒索软件的风险和影响。,家全球组织参加了Veeam的调查%受到至少一次勒索软件攻击影响的公司数量减少比例为应对勒索软件的挑战，组织必须从被动的安全策略转变为主动的网络韧性策略，利用准备、快速响应和安全恢复措施来降低风险。 2025年值得关注的六大勒索软件趋势执法部门迫使威胁行为者适应数据泄露攻击不断增加勒索软件支付正在减少支付赎金的新法律后果协作增强抵御勒索软件的韧性安全和恢复预算增加，但仍需更多投入 2024年，当局成功发起了几次行动，以打击著名的网络威胁组织。这些大型组织的消亡显然是威胁防御的积极进展。然而，传播攻击的较小团体和“独狼”威胁行为者的数量有所增加。一些组织还将目标转向下游，避开关键基础架构以减少执法部门的检查，并将目标对准网络防御能力通常较弱的中小型企业（SME）。执法部门迫使威胁行为者适应 一些被关闭、消失或停止运营的大型组织包括 ：LockBit，一个勒索软件即服务（RaaS）组织，在英国国家犯罪署与美国联邦调查局和欧洲刑警组织联合执法的努力下被消灭。12BlackCat，一个RaaS组织，联邦调查局曾于2023年瓦解过该组织，13该组织在成功攻击Change Healthcare之后，于2024年3月结束了行动，据报道支付的赎金价值超过2200万美元。14Black Basta，在对美国医疗系统Acension（包括19个州的140家医院）发动攻击后，泄露的聊天记录揭示了对执法检查的担忧，该公司似乎在2025年停止了运营。15 随着威胁形势的演变，威胁行为者也在不断改变其策略。值得注意的是，虽然泄漏策略通常与数据加密结合使用，但在第四季度，仅支付赎金的泄漏受害者数量有所增加。2数据泄漏反映了一种“砸橱窗抢劫”方法，这种方法在加密前的传统勒索软件攻击中很常见。基于云的应用程序和云基础架构安全性较差时也会出现这种情况。随着向数据泄漏以及双重勒索（既加密以限制访问，又公布泄漏的敏感数据）的转变，停留时间也有所缩短，即从入侵到发起攻击之间的时间，许多攻击仅在数小时内发生。2024年第二季度，Coveware by Veeam指出，该季度排名前三的勒索软件对手中，有两个的平均停留时间少于24小时。3与前几个季度相比，这是一个明显的下降，而且这一趋势也一直持续到第四季度。数据泄露攻击不断增加 网络安全状况薄弱、网络架构复杂的组织往往特别容易受到数据泄漏和相关网络威胁的攻击。当威胁源起方进入受害者网络时，他们倾向于使用横向移动技术。他们寻找易于泄漏或特定目标（如入侵VMware ESXi虚拟机管理程序）的方法，胁迫受害者支付赎金。这些高效且经过充分演练的策略通常会导致更快的攻击，从而难以检测和遏制。 幸运的是，相比于2023年，2024年勒索软件支付的总价值有所下降。4在受到勒索软件攻击影响的组织中，超过三分之一（36%）没有支付赎金，25%没有支付赎金但最终恢复了数据。在那些支付了赎金的受害者中，82%的人支付的赎金少于初始赎金，60%的人支付的赎金少于初始赎金的一半。这一数据也与Coveware byVeeam在2024年与受影响公司合作期间的第一手数据相吻合，当时第四季度的平均支付额下降了45%，降至约11万美元，创历史新低。在与Coveware by Veeam的专家事件响应合作的公司中，只有25%的公司支付了赎金，这是“打击勒索软件斗争中的一个重要里程碑”。与利用Coveware by Veeam事件响应服务的公司相比，其他组织支付赎金的可能性要高出156%。这表明，与经验丰富的第三方合作进行事件响应可以减少赎金支付、降低赎金支付以及提高整体实践的韧性。受害者越来越不愿意支付赎金，因为他们不相信攻击者会释放他们的数据。组织还主动改进了自己的事件响应计划，包括通过使用不可变备份。勒索软件支付正在减少 5 贵组织是否为恢复数据支付了赎金？17%2%25%是，但我们仍未恢复数据是，并能够恢复我们的数据没有，我们无法恢复数据没有，但我们还是恢复了数据9%没有要求支付赎金支付赎金的百分比31%29%15%13%7%26-50%<25%51-75%100%76-99% 事实证明，支付赎金的代价可能非常高昂，因为它会激励攻击者，并确认易受攻击的组织愿意支付赎金。事实上，在支付赎金的公司中，69%的公司遭到了不止一次攻击。如果组织不采取措施加强防御和响应能力，那么当攻击发生时，他们的选择就会减少。69%支付赎金的组织受到攻击的次数超过一次赎金支付的新法律后果 不断发展的监管和报告举措，以及各司法管辖区当局的协调执法，也导致了赎金支付的下降。值得注意的是，美国政府于2021年发起的国际反勒索软件倡议（CRI）及其附属工作组将68个国家/地区聚集在一起，旨在破坏勒索软件生态系统并制定共同的政策方法。62023年，40个CRI成员签署了一份联合政府承诺书，“强烈反对任何人支付勒索软件要求的款项”。7一些国家/地区还提议立法禁止公共部门组织支付赎金，例如英国在2025年1月8以及美国的两个州（佛罗里达州和北卡罗来纳州）也通过了此类法律。9联邦调查局不鼓励组织支付赎金，10美国财政部建议，向被外国资产控制办公室（OFAC）封锁的实体付款可能存在制裁风险。11全球组织还必须考虑其他支付风险和合规要求。 加强IT运营和安全团队之间的协作与沟通还有助于组织提高网络韧性。然而，大多数受访者（52%）表示，需要进行重大改进或彻底改革才能使这些团队保持一致。只有11%的人表示几乎没有改进或不需要改进。与此同时，平台和技术参与者正在合作汇总勒索软件情报，并提供相关服务来帮助组织加强防御。向执法和监管机构以及新兴的合作伙伴网络和行业信息共享交易所报告勒索软件和其他网络攻击，可以加强集体防御。11%需要进行重大改进或彻底改革几乎不需要改进37%需要做出一些改进IT运营和安全团队的协调协作增强抵御勒索软件的韧性 我们的安全目标是一致的，我们必须共同努力。因此，我认为，如果没有公共和私人实体及其价值主张共同寻找一些解决方案，我们就不可能实现网络安全的未来。16Sue Gordon美国国家情报局前首席副局长在此观看对Sue Gordon Veeam CISO Gil Vega的完整采访 最重要的是，这使供应商和机构能够向生态系统中的其他人提供入侵指标和缓解策略。虽然许多勒索软件防御技术已显示出改进的迹象，但一些组织并未以足够快的速度增加安全和恢复预算，以适应日益严峻的威胁形势。由于面临各种各样的勒索软件和其他攻击载体，安全团队的力量也很薄弱。总体而言，企业倾向于将稍多的资源用于安全（平均占IT预算的31%），而不是恢复（平均占28%），这表明在建立主动韧性方面存在潜在漏洞。首席信息官（CIO）和首席信息安全官（CISO）在为每个领域分配预算时，应根据其组织的需求取得适当的平衡。调查结果显示，安全或恢复投资不足会削弱组织防范和应对勒索软件攻击的能力。缺乏对恢复的重视尤其会浪费宝贵的时间和资源，特别是当威胁源起方以备份存储库为目标时。从好的方面来说，94%的组织增加了2025年的恢复预算，95%增加了用于预防的预算，这表明提高网络韧性越来越受到重视。94%的组织增加了2025年的恢复预算95%的组织增加了用于预防的恢复预算安全和恢复预算增加，但仍需更多投入 勒索软件攻击后董事会会提出的问题攻击是如何发生的？详细说明攻击原因、范围和影响。采取了哪些措施来消除这种威胁？描述是否支付了赎金（如有，如何支付）以及为消除威胁和恢复所采取的步骤。哪些系统、数据和业务运营受到影响？概述攻击的影响，包括任何财务和声誉后果。采取了哪些措施来提高网络韧性并防止未来的攻击？确定为加强安全和恢复而采取的措施，例如改变治理措施或网络安全投资重点。 当突然面临勒索软件攻击时，组织需要立即协调一致地采取行动。时间紧迫，因此评估漏洞范围、遏制威胁并在几分钟内启动事件响应至关重要。分析在勒索软件攻击中取得较好结果和较差结果的组织的共同特征，可以为增强网络防御提供启示。如此巨大的成功差距提出了一个问题 ：为什么这么多组织难以应对如此广泛的网络威胁？从调查结果来看，有几个方面的不足与勒索软件韧性较低有关。此外，通过查看组织表示在过去一年中遭受攻击的经验教训，可以重点关注几种模式，可以应用于更好的勒索软件防御和恢复。结果更好的组织有哪些共同点关键成功因素 ： 如果满足以下九项标准中的五项，则认为组织更成功。组织没有支付赎金，他们得以恢复数据。该组织没有遭到多次攻击。该组织没有受到重大影响。组织没有加密生产数据。组织获得的评级是做好了准备或完全做好了攻击后的准备。该组织恢复了80%以上服务器的功能。该组织超过90%的受影响数据已恢复。受影响的组织生产平台不到20%。当威胁行为者尝试时，只有不到10%的备份存储库被修改或删除。 攻击前的信心并不总是与现实相符 ：69%的勒索软件受害者表示，他们认为自己在遭受攻击前已做好充分准备，但这种信心在攻击后下降了20%以上，凸显了计划方面的关键差距。对于某些角色来说，对准备与现实的看法之间的差距也更大。特别是，首席信息官在攻击后的准备评级下降了30%，而首席信息官的评级下降了15%，这表明首席信息官对其组织的安全态势有更准确的了解。总体而言，围绕网络韧性、准备措施和事件响应程序促进组织协调至关重要。这应包括对所有适用群体进行培训和演练，以支持在攻击期间和之后采取一致、协调的应对措施。虽然98%的受访者拥有勒索软件手册，但只有不到一半的组织拥有关键技术要素，例如备份验证和频率（44%）、备份副本和保证清洁度（44%）、替代基础架构安排（37%）、遏制或隔离计划（32%）以及预先定义的“指挥链”（30%）。取得更多成功结果的组织将这五项关键技术要素纳入手册的比例要高得多。勒索软件手册促进了攻击准备工作 让组织更成功的关键手册要素备份验证和频率备份副本和保证清洁度预定义的“指挥链”37%替代基础架构安排28%32%21%遏制或隔离计划 安全备份恢复至关重要，但其挑战性超出了许多人的预期。事实上，89%的组织都有其备份存储库成为攻击者的目标。更糟糕的是，他们平均有34%的备份存储库被修改或删除。不到10%的受访企业在预期范围内恢复了超过90%的服务器，仅51%的受访企业恢复了大部分服务器。制定恢复计划至关重要，涉及多个阶段。安全和IT团队必须遏制或消除网络威胁，然后利用身份和访问管理等工具以及其他网络安全解决方案对访问进行补救，最后将数据恢复到安全的环境中。安全备份作为一种主动措施也未得到充分利用。只有32%的受访者使用配置为不可变的