本文通過各種報(bào)告摘錄，提供了有關(guān)當(dāng)前勒索軟件形勢(shì)的統(tǒng)計(jì)數(shù)據(jù)和見解。

全球勒索病毒危機(jī)加劇

NTT安全控股《2024全球威脅情報(bào)報(bào)告》（2024年5月）

據(jù)NTT安全控股公司的《2024年全球威脅情報(bào)報(bào)告》顯示，勒索軟件和勒索事件在2023年激增了67%。

在經(jīng)歷了2022年的下降趨勢(shì)之后，勒索軟件和勒索事件在2023年有所增加。在多個(gè)社交渠道上發(fā)現(xiàn)或發(fā)布的勒索軟件受害者超過5000人，高于2022年的約3000人。實(shí)際上，受害者數(shù)量可能更高，因?yàn)檫@項(xiàng)研究并未反映在名單公布之前支付贖金的事件。

其中，制造業(yè)在2023年遭受攻擊的行業(yè)中排名第一，占25.66%，在社交渠道上發(fā)布的勒索軟件受害者也最多，占27.75%。

研究顯示，人類仍然是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，而且情況正在變得更糟?；旌显骗h(huán)境、自帶設(shè)備和第三方集成已經(jīng)擴(kuò)大了大多數(shù)組織的攻擊面。網(wǎng)絡(luò)安全的角色和責(zé)任正在擴(kuò)大，網(wǎng)絡(luò)預(yù)算正在削減，加劇了員工的疲勞和倦怠情緒。

勒索軟件攻擊影響醫(yī)療機(jī)構(gòu)中20%的敏感數(shù)據(jù)

Rubrik《數(shù)據(jù)安全狀態(tài)：衡量數(shù)據(jù)風(fēng)險(xiǎn)》（2024年5月）

據(jù)Rubrik稱，最近的網(wǎng)絡(luò)事件表明，醫(yī)療行業(yè)仍然是勒索軟件黑客的主要目標(biāo)。

一個(gè)典型的醫(yī)療保健組織擁有超過4200萬條敏感數(shù)據(jù)記錄，比全球平均水平（2800萬條）多50%。調(diào)查發(fā)現(xiàn)，醫(yī)療保健組織的敏感數(shù)據(jù)記錄在2023年增長(zhǎng)了63%以上，遠(yuǎn)超其他任何行業(yè)，是全球平均水平（13%）的五倍多。

據(jù)估計(jì)，針對(duì)醫(yī)療保健組織的勒索軟件攻擊所影響的敏感數(shù)據(jù)也幾乎是全球平均水平的五倍。這相當(dāng)于每次成功發(fā)生勒索軟件加密事件時(shí)，典型醫(yī)療保健組織敏感數(shù)據(jù)總量的20%會(huì)受到影響，而一般組織的影響為6%。

94%的IT和安全負(fù)責(zé)人表示，他們的組織去年經(jīng)歷了至少一次重大的網(wǎng)絡(luò)攻擊，且平均攻擊次數(shù)高達(dá)30次。這些受害者中有三分之一遭受了至少一次勒索軟件攻擊。

93%遭受勒索軟件攻擊的外部組織報(bào)告支付了贖金要求，其中58%的支付主要是出于泄露被盜數(shù)據(jù)的威脅。

盡管執(zhí)法部門做出了努力，但勒索軟件活動(dòng)又回到了正軌

Corvus Insurance 《2024 Q1勒索軟件報(bào)告》（2024年5月）

據(jù)Corvus保險(xiǎn)公司的數(shù)據(jù)顯示，盡管備受矚目的勒索軟件團(tuán)伙L(fēng)ockBit和BlackCat受到了執(zhí)法打擊，但2024年第一季度仍是勒索軟件活動(dòng)最活躍的一季度，比2023年第一季度增長(zhǎng)了21%。

國(guó)際執(zhí)法行動(dòng)針對(duì)LockBit的基礎(chǔ)設(shè)施，導(dǎo)致其業(yè)務(wù)在2023年和2022年出現(xiàn)下降趨勢(shì)。但在2024年第一季度，Lockbit運(yùn)營(yíng)商已經(jīng)開始重建，只是目前的作業(yè)速度有所下降。

此外，勒索軟件攻擊在2024年第一季度繼續(xù)增長(zhǎng)，主要是由于其他勒索軟件附屬組織將業(yè)務(wù)轉(zhuǎn)移到新的替代組織。事實(shí)上，第一季度出現(xiàn)了18個(gè)新的泄漏點(diǎn)，這是有記錄以來單個(gè)季度出現(xiàn)泄漏點(diǎn)數(shù)量最多的一次。這些新增的泄漏點(diǎn)使第一季度的活躍泄漏點(diǎn)總數(shù)達(dá)到60個(gè)。

勒索恢復(fù)成本達(dá)到273萬美元

Sophos《2024年勒索軟件狀態(tài)》（2024年5月）

據(jù)Sophos稱，去年的平均贖金支付額增長(zhǎng)了500%。支付贖金的組織報(bào)告平均支付了200萬美元，高于2023年的40萬美元。

然而，贖金只是成本的一部分。調(diào)查發(fā)現(xiàn)，除贖金外，恢復(fù)的平均成本達(dá)到273萬美元，比Sophos在2023年報(bào)告的182萬美元增加了近100萬美元。

【贖金要求分布】

調(diào)查發(fā)現(xiàn)，63%的贖金要求在100萬美元或以上，30%的贖金要求超過500萬美元，這表明勒索軟件運(yùn)營(yíng)商正在尋求巨額回報(bào)。不幸的是，贖金金額的增加不僅僅是針對(duì)收入最高的組織。去年，46%的收入低于5000萬美元的組織也收到了七位數(shù)的贖金要求。

漏洞利用連續(xù)第二年成為最常見的攻擊根源，影響了32%的組織。緊隨其后的是憑證泄露（29%）和惡意電子郵件（23%）。

勒索軟件組織的行為模式正在發(fā)生變化

GuidePoint Security 《2024年Q1 勒索軟件報(bào)告》（2024年4月）

據(jù)GuidePoint Security稱，在2024年第一季度，一些最多產(chǎn)的勒索軟件即服務(wù)（RaaS）組織的活動(dòng)發(fā)生了實(shí)質(zhì)性變化。

盡管LockBit和Alphv這兩個(gè)最大、最多產(chǎn)的勒索軟件組織遭到了破壞，但2024年第一季度報(bào)告的受害者數(shù)量比2023年第一季度增加了近20%。

除此之外，報(bào)告還觀察到，在執(zhí)法活動(dòng)之后勒索軟件組織的行為模式發(fā)生了重大變化，包括繼續(xù)以以前“禁止”的組織和行業(yè)為目標(biāo)，如急診醫(yī)院。

分支機(jī)構(gòu)是RaaS行動(dòng)的命脈，在執(zhí)法中斷Alphv和LockBit等團(tuán)伙的行動(dòng)后，一些較小的RaaS組織正試圖招募不滿或流離失所的分支機(jī)構(gòu)。雖然執(zhí)法努力的長(zhǎng)期影響還有待觀察，但隨著RaaS領(lǐng)域的不斷發(fā)展，預(yù)計(jì)第二季度將出現(xiàn)動(dòng)蕩。

活躍的勒索軟件組的數(shù)量同比增長(zhǎng)了一倍多，從2023年第一季度的29個(gè)不同的組增加到2024年第一季度的45個(gè)不同的組，增長(zhǎng)了55%。其中，最活躍的三大勒索軟件組織分別是LockBit、Blackbasta和Play。

2024年第一季度受勒索軟件影響最大的行業(yè)分別是制造業(yè)、零售批發(fā)和醫(yī)療保健行業(yè)。零售批發(fā)行業(yè)在本季度觀察到的活動(dòng)激增，占整體勒索活動(dòng)的7%，超過醫(yī)療保健行業(yè)成為受影響第二大的行業(yè)。

網(wǎng)絡(luò)罪犯利用人工智能開發(fā)新時(shí)代的惡意軟件

Group-IB《2023/2024年高科技犯罪趨勢(shì)》（2024年3月）

根據(jù)Group-IB《2023/2024年高科技犯罪趨勢(shì)》顯示，勒索軟件組織和初始訪問代理（IAB）之間的聯(lián)盟仍然是網(wǎng)絡(luò)犯罪行業(yè)的強(qiáng)大引擎，將數(shù)據(jù)上傳到專用泄漏網(wǎng)站（DLS）的公司數(shù)量同比增長(zhǎng)74%就證明了這一點(diǎn)。

民族國(guó)家支持的威脅行為者（也稱APT組織）的胃口越來越大，這表明沒有一個(gè)地區(qū)能夠免受網(wǎng)絡(luò)威脅的影響。Group-IB專家發(fā)現(xiàn)，出售零日漏洞的公開帖子數(shù)量增加了70%，并確定網(wǎng)絡(luò)犯罪分子惡意使用合法服務(wù)和注入人工智能（AI）的技術(shù)是2024年的主要網(wǎng)絡(luò)風(fēng)險(xiǎn)。

威脅行為者已經(jīng)展示了AI如何幫助他們?cè)诰幊陶Z言知識(shí)有限的情況下開發(fā)惡意軟件，頭腦風(fēng)暴新的TTP，編寫令人信服的社會(huì)工程攻擊文本，并提高他們的運(yùn)營(yíng)效率。

地下論壇對(duì)ChatGPT越獄和專門生成預(yù)訓(xùn)練轉(zhuǎn)換器（GPT）開發(fā)的興趣持續(xù)增加，以尋找繞過ChatGPT安全控制的方法。自2023年中期以來，為了協(xié)助網(wǎng)絡(luò)犯罪活動(dòng)，誕生了四種ChatGPT風(fēng)格的工具：WolfGPT、DarkBARD、FraudGPT和WormGPT。其中，F(xiàn)raudGPT和WormGPT是地下論壇和Telegram頻道上討論最多的工具，專門用于社會(huì)工程和網(wǎng)絡(luò)釣魚。它們的進(jìn)步給復(fù)雜的攻擊帶來了風(fēng)險(xiǎn)。

就受影響的行業(yè)而言，針對(duì)制造業(yè)（580例）和房地產(chǎn)（429例）的勒索軟件DLS攻擊分別同比增長(zhǎng)125%和165%，這兩個(gè)關(guān)鍵行業(yè)是全球受災(zāi)最嚴(yán)重的行業(yè)。此外，與醫(yī)療保健公司相關(guān)的勒索軟件DLS帖子同比增長(zhǎng)88%，與政府和軍事組織相關(guān)的帖子同比增長(zhǎng)65%。

基礎(chǔ)安全問題仍然是企業(yè)最大的威脅

IBM 《X-Force 2024年威脅情報(bào)指數(shù)》（2024年2月）

據(jù)IBM《X-Force2024年威脅情報(bào)指數(shù)》指出，在2023年，網(wǎng)絡(luò)犯罪分子看到了更多通過有效賬戶“登錄”而非入侵企業(yè)網(wǎng)絡(luò)的機(jī)會(huì)，這使得這種策略成為威脅行為者的首選武器。

在針對(duì)關(guān)鍵部門的近85%的攻擊中，可以通過修補(bǔ)程序、MFA或最低特權(quán)原則來成功緩解，這表明安全行業(yè)歷來所描述的“基礎(chǔ)安全”可能比描述的更難實(shí)現(xiàn)。

利用有效賬戶已經(jīng)成為網(wǎng)絡(luò)犯罪分子最容易利用的途徑，如今，在暗網(wǎng)上可以訪問數(shù)十億個(gè)受損的賬戶。同時(shí)，攻擊者正越來越多地投資于獲取用戶身份的操作——信息竊取惡意軟件的數(shù)量增加了266%，旨在竊取個(gè)人身份信息，如電子郵件、社交媒體和消息應(yīng)用程序憑證、銀行詳細(xì)信息、加密錢包數(shù)據(jù)等。

根據(jù)X-Force的說法，攻擊者使用有效賬戶造成的重大事件要比普通事件難處理近200%，因?yàn)榉烙咝枰獏^(qū)分網(wǎng)絡(luò)上的合法和惡意用戶活動(dòng)。

X-Force還評(píng)估稱，一旦生成式人工智能市場(chǎng)主導(dǎo)地位確立——即單一技術(shù)接近50%的市場(chǎng)份額，或者當(dāng)市場(chǎng)整合為三種或更少的技術(shù)時(shí)——可能會(huì)進(jìn)一步擴(kuò)大企業(yè)攻擊面，從而動(dòng)員網(wǎng)絡(luò)犯罪分子進(jìn)一步投資新工具。

隨著勒索軟件組織的發(fā)展，2024年將是網(wǎng)絡(luò)安全動(dòng)蕩的一年

北極狼《北極狼實(shí)驗(yàn)室2024威脅報(bào)告》（2024年2月）

據(jù)北極狼稱，黑客對(duì)勒索軟件的需求大幅增加，同比增長(zhǎng)超過20%。有令人擔(dān)憂的跡象表明，2024年將尤其不穩(wěn)定，因?yàn)槔账鬈浖M織擴(kuò)大了他們的目標(biāo)清單，并探索新的壓力策略，以應(yīng)對(duì)日益有效的國(guó)際執(zhí)法努力和不斷增長(zhǎng)的拒絕支付舉措。

近年來，網(wǎng)絡(luò)犯罪行業(yè)日趨成熟，其組成組織——包括勒索軟件組織——也變得越來越老練。如今，RaaS生態(tài)系統(tǒng)和附屬模式幾乎允許任何有抱負(fù)的網(wǎng)絡(luò)犯罪分子參與攻擊，而雙重勒索攻擊（攻擊者破壞操作并威脅發(fā)布泄露的數(shù)據(jù)）已成為常態(tài)。此外，一些勒索軟件組織和分支機(jī)構(gòu)通過直接聯(lián)系個(gè)人和組織來實(shí)現(xiàn)“三重勒索”。

在2022年或更早時(shí)間首次披露的漏洞中，近60%的事件的根本原因是利用了外部可訪問的系統(tǒng)。制造業(yè)、商業(yè)服務(wù)和教育/非營(yíng)利組織是出現(xiàn)在勒索軟件泄露網(wǎng)站上的前三個(gè)行業(yè)。

對(duì)許多組織來說，支付贖金正成為一項(xiàng)生意成本

Cohesity《Cohesity研究報(bào)告》（2024年2月）

據(jù)Cohesity稱，如今無處不在的網(wǎng)絡(luò)攻擊迫使大多數(shù)公司支付贖金，打破了他們的“不支付”政策，而數(shù)據(jù)恢復(fù)的缺陷使問題更加嚴(yán)重。

事實(shí)上，大多數(shù)公司在過去兩年中都支付了贖金，而且絕大多數(shù)公司預(yù)計(jì)，與2023年相比，2024年網(wǎng)絡(luò)攻擊的威脅將顯著增加。

令人擔(dān)憂的是，79%的受訪者表示，他們的公司在6月至12月期間曾成為“勒索軟件攻擊的受害者”。預(yù)計(jì)到2024年，網(wǎng)絡(luò)威脅形勢(shì)將變得更糟，96%的受訪者表示，今年他們所在行業(yè)面臨的網(wǎng)絡(luò)攻擊威脅將會(huì)增加，71%的受訪者預(yù)計(jì)這一威脅將增加50%以上。

組織的攻擊面由其數(shù)據(jù)環(huán)境的大小和范圍決定。然而，78%的受訪者表示，他們的數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)在的增長(zhǎng)速度超過了他們管理的數(shù)據(jù)的增長(zhǎng)速度。受訪者還認(rèn)為，企業(yè)的網(wǎng)絡(luò)彈性和數(shù)據(jù)安全策略跟不上當(dāng)前的威脅形勢(shì)，只有21%的受訪者對(duì)其公司的網(wǎng)絡(luò)彈性策略及其“應(yīng)對(duì)當(dāng)今不斷升級(jí)的網(wǎng)絡(luò)挑戰(zhàn)和威脅”的能力充滿信心。

網(wǎng)絡(luò)彈性是業(yè)務(wù)連續(xù)性的技術(shù)支柱。它定義了公司在遭受網(wǎng)絡(luò)攻擊或不利的IT事件時(shí)恢復(fù)數(shù)據(jù)和恢復(fù)業(yè)務(wù)流程的能力。然而，根據(jù)受訪者的說法，每家公司都面臨著網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性的挑戰(zhàn)。

所有受訪者都表示，他們需要超過24小時(shí)來恢復(fù)數(shù)據(jù)和恢復(fù)業(yè)務(wù)流程，只有7%的受訪者表示，他們的公司可以在1-3天內(nèi)恢復(fù)數(shù)據(jù)和恢復(fù)業(yè)務(wù)流程。

35%的人表示可以在4 - 6天內(nèi)恢復(fù)和恢復(fù)，34%的人需要1-2周，23%的人需要3周以上才能恢復(fù)數(shù)據(jù)和業(yè)務(wù)流程。

勒索軟件的戰(zhàn)術(shù)不斷進(jìn)化，變得更加好斗

Malwarebytes《2024年惡意軟件狀態(tài)》（2024年2月）

據(jù)Malwarebytes稱，隨著我們進(jìn)入2024年，勒索軟件仍然是企業(yè)面臨的最嚴(yán)重的網(wǎng)絡(luò)威脅。

【每月勒索軟件攻擊分布】

隨著2023年勒索軟件攻擊的增加（68%），平均贖金要求也大幅攀升。在英國(guó)皇家郵政（Royal Mail）遭到攻擊后，LockBit團(tuán)伙索要了8000萬美元的贖金，這是目前已知的最大金額。

勒索軟件組織也進(jìn)化了他們的策略，變得更加好斗和復(fù)雜，以同時(shí)攻擊更多的目標(biāo)。例如，CL0P勒索軟件團(tuán)伙通過一系列短時(shí)間的自動(dòng)攻擊打破了既定規(guī)范，同時(shí)利用零日漏洞攻擊數(shù)百個(gè)毫無戒心的目標(biāo)。

此外，惡意廣告也在2023年卷土重來，通過極具說服力的廣告和網(wǎng)站，誘騙用戶在他們的設(shè)備上下載惡意軟件，傳播Windows和Mac惡意軟件。

【最常被假冒的五個(gè)品牌】

研究發(fā)現(xiàn)，亞馬遜、Rufus、Weebly、NotePad++和Trading View是最常被假冒的五大品牌。此外，Dropbox、Discord、4sync、Gitlab和Google是最易被濫用的五大主機(jī)。Aurora Stealer、Vidar、Redline Stealer、BatLoader和IcedID是最常見的五大惡意軟件。

網(wǎng)絡(luò)犯罪分子更換新策略來竊取敏感數(shù)據(jù)

Delinea《2024年勒索軟件狀態(tài)：預(yù)測(cè)戰(zhàn)斗并加強(qiáng)防御》（2024年1月）

隨著網(wǎng)絡(luò)犯罪分子的動(dòng)機(jī)轉(zhuǎn)向數(shù)據(jù)泄露，勒索軟件攻擊再次增加。雖然并未回到2021年的水平，但在過去的12個(gè)月里，聲稱遭受勒索軟件攻擊的組織數(shù)量比去年增加了一倍多，從25%增加到53%。企業(yè)支付贖金的頻率也有所提高，從去年的68%上升到76%。

然而，更引人注目的是調(diào)查揭示的動(dòng)機(jī)、策略和戰(zhàn)術(shù)方面的新趨勢(shì)。數(shù)據(jù)泄露激增了39%（從46%上升至64%），成為攻擊者的首選目標(biāo)，他們現(xiàn)在正在控制公司的網(wǎng)絡(luò)，下載敏感數(shù)據(jù)并在暗網(wǎng)上出售。傳統(tǒng)的搶錢行為作為主要?jiǎng)訖C(jī)的顯著下降也證明了這一趨勢(shì)（34%，低于前一年的69%）。

隨著主要目標(biāo)的改變，網(wǎng)絡(luò)犯罪分子修改了他們的策略，不再將電子郵件作為首選攻擊媒介（從52%下降到37%），轉(zhuǎn)而瞄準(zhǔn)云計(jì)算（44%）和受損應(yīng)用程序（39%）。通過采取更隱蔽的方法，攻擊者可以在不被發(fā)現(xiàn)的情況下保持更長(zhǎng)時(shí)間，并獲得對(duì)系統(tǒng)和數(shù)據(jù)的持續(xù)訪問，使他們能夠在后續(xù)操作中增加損害。

企業(yè)在數(shù)據(jù)保護(hù)方面投入更多，但恢復(fù)的卻很少

Veeam Software《Veeam數(shù)據(jù)保護(hù)趨勢(shì)報(bào)告》（2024年1月）

據(jù)Veeam Software稱，92%的組織將在2024年增加數(shù)據(jù)保護(hù)支出，以在勒索軟件和網(wǎng)絡(luò)攻擊的持續(xù)威脅中實(shí)現(xiàn)網(wǎng)絡(luò)彈性。

受訪者表示，網(wǎng)絡(luò)攻擊仍然是導(dǎo)致業(yè)務(wù)中斷的首要原因，盡管企業(yè)越來越重視利用云計(jì)算進(jìn)行重大恢復(fù)，但只有一小部分人認(rèn)為他們能夠在一周內(nèi)從小危機(jī)中恢復(fù)過來。

網(wǎng)絡(luò)攻擊連續(xù)第四年被列為導(dǎo)致企業(yè)業(yè)務(wù)中斷的最常見和最具影響力的原因。其他類型的中斷緊隨其后——基礎(chǔ)設(shè)施/網(wǎng)絡(luò)、存儲(chǔ)硬件、應(yīng)用軟件、公共云資源和服務(wù)器硬件——說明了對(duì)現(xiàn)代化備份策略日益增長(zhǎng)的需求。

預(yù)計(jì)到2024年，數(shù)據(jù)保護(hù)預(yù)算將增長(zhǎng)6.6%。這是該調(diào)查連續(xù)第二年顯示，數(shù)據(jù)保護(hù)支出的增長(zhǎng)將超過IT支出的增長(zhǎng)。

此外，容器的使用率持續(xù)上升，59%的企業(yè)在生產(chǎn)中運(yùn)行容器，另有37%的企業(yè)正在部署或計(jì)劃部署容器。不幸的是，只有25%的組織使用專門為容器構(gòu)建的備份解決方案，而其余的組織只備份一些底層組件——例如，存儲(chǔ)庫(kù)或數(shù)據(jù)庫(kù)內(nèi)容。這兩種策略都不能確保應(yīng)用程序和服務(wù)在發(fā)生危機(jī)后能夠快速恢復(fù)。

原文鏈接：https://www.helpnetsecurity.com/2024/05/15/ransomware-statistics-2024/