網絡安全公司 Coveware 發現，越來越多受到勒索軟件團伙攻擊的組織開始意識到支付贖金完全沒有用，因此選擇拒絕支付，從而使 2024 年第一季度，選擇支付贖金的勒索軟件受害者比例僅僅為 28% 的歷史新低。

據悉，之所以越來越多的組織選擇拒絕支付贖金，原因是受害組織慢慢開始有能力抵御加密攻擊，能夠組織起安全人員團隊在不需要解密密鑰的情況下恢復業務正常運行。此外，受害者也發現就算支付了贖金，被盜數據仍舊會被泄露甚至二次交易。

種種原因疊加在一起，很多勒索軟件受害者選擇拒絕支付贖金。

Coveware 還舉了一些例子，此前 LockBit 勒索軟件就多次被發現，收到贖金后仍持有受害者的被盜數據。此外，很多研究人員 Hive 勒索軟件的受害者在支付贖金后，被盜的數據依舊被威脅攻擊者發布在Hunters International 泄密網站上“待價而沽”。

以上兩個老牌勒索軟件團伙的操作在整個勒索軟件“生態中”的非常普遍，一次次證明在遭受勒索軟件襲擊后，就算受害者支付贖金，仍舊不能“花錢平事”，從而導致近些年越來越多的受害者選擇拒絕支付贖金。

贖金支付率-時間變化（來源：Coveware）

不僅僅是贖金支付率來到歷史新低，Coveware 在報告中還指出，平均贖金支付同樣環比下降 32%，目前為 381980 美元。

需要注意的是，雖然支付比例以及平均支付金額大幅下降了，但贖金支付中位數環比增長 25%，為 250000 美元，支付給勒索軟件團伙的金額比以往任何時候都高，根據 Chainalysis 的一份報告，2023 年達到 11 億美元。

付款金額趨勢（來源：Coveware）

平均贖金支付額度下降以及贖金支付中位數上升，側面表明勒索軟件的“高價值”受害者比例逐步減少，這可能是由于贖金要求變得更加“溫和”，或者是越來越少的高價值目標選擇“屈服”。

勒索軟件攻擊媒介（來源：Coveware）

勒索軟件“生態系統”正在重塑

隨著 LockBit 2.0 和 Alphv/Blackcat 等大型勒索軟件團伙逐步“瓦解”，其許多附屬團伙開始在“風暴”中尋找更安全的“港灣”，其它勢力較小的勒索軟件即服務（RaaS）勒索軟件團伙正試圖吸引這些附屬團伙加入到陣營中。

日前，Sophos X-Ops 安全研究人員發現了 19 個“廉價”、構造粗糙的勒索軟件變種。Sophos 威脅研究總監 Christopher Budd）表示，雖然這類勒索軟件變種不會像 Cl0p 和 Lockbit 團伙一樣，索要上百萬美元贖金，但確實會對中小企業帶來嚴重影響。

2024年 第一季度最活躍的勒索軟件組織（來源：Coveware）

最后，GuidePoint 研究人員建議勒索軟件受害者（主要是中小型企業）在向小型/不成熟的 RaaS 勒索軟件團伙付款之前要三思而行，主要因為這些團伙經常夸大其詞，吹噓自己的“戰果”，而且不守信用，會再次勒索受害者。

參考文章：

• https://www.bleepingcomputer.com/news/security/ransomware-payments-drop-to-record-low-of-28-percent-in-q1-2024/#google_vignette
• https://www.helpnetsecurity.com/2024/04/19/ransomware-q1-2024-payments/