近年来,金融犯罪手段日益复杂,促使网络犯罪分子不断寻找漏洞,实施更具创新性的攻击。巨额经济利益的诱惑驱使这些网络犯罪分子开发新技术,并改进现有方法,导致勒索型网络攻击显著增加。
根据Verizon发布的《2024年数据泄露调查报告》,约三分之一的数据泄露事件(32%)涉及勒索软件攻击或其他敲诈勒索手段。纯粹的敲诈勒索攻击在去年有所增加,目前占所有数据泄露事件的9%。这些数据印证了过去三年观察到的现象:勒索软件和其他敲诈勒索手段相结合,导致了近三分之二的以经济利益为目的的网络攻击,这一比例在此期间波动于59%至66%之间。
同样,在过去两年中,四分之一的以经济利益为目的的攻击(占 24% 到 25%)涉及了预设情境技术,这是一种社会工程攻击,攻击者会编造虚假的故事或令人信服的借口来诱骗受害者泄露个人或敏感数据,其中大多数属于商业电子邮件入侵 (BEC) 案例,即以公司名义发送虚假电子邮件。
“勒索软件攻击对企业造成了毁灭性的打击,不仅在财务上和技术上,而且严重损害了企业的形象。尽管后果巨大,但这些攻击往往始于简单的执行事件,例如凭证泄露或社交工程攻击。这些企业常常忽视的初始手段,可能会打开网络入侵的大门,导致数百万美元的损失和客户信任的丧失,”巴西公司 Apura Cyber Intelligence 的首席商务官 Maurício Paranhos 解释道。该公司参与了 Verizon 报告的撰写。
帕拉尼奥斯强调,了解网络勒索的现状对于像Apura这样的公司至关重要,只有这样,它们才能持续开发一系列解决方案和措施来减轻犯罪分子的侵害。因此,必须密切关注数据,并尽可能从中提取信息。
最容易量化的成本之一是支付赎金所造成的损失。分析今年联邦调查局互联网犯罪投诉中心 (IC3) 的统计数据发现,支付赎金者的损失中位数(执法部门追回款项后)约为 46,000 美元。这比上一年的 26,000 美元中位数显著增加。然而,值得注意的是,今年只有 4% 的勒索未遂案件最终导致实际损失,而去年这一比例为 7%。
另一种分析数据的方法是考察赎金要求占受害组织总收入的百分比。平均初始赎金要求相当于组织总收入的1.34%,其中50%的赎金要求介于0.13%至8.30%之间。如此大的差异表明,一些最严重的案例甚至要求高达受害组织总收入的24%。这些数值范围可以帮助组织进行风险情景分析,更深入地了解勒索软件攻击可能带来的直接成本。
“虽然还需要考虑许多其他因素,但这些数据为了解勒索软件攻击的经济影响提供了一个宝贵的起点。此类攻击事件的日益增多以及网络犯罪分子所用技术的多样性,都凸显了保持警惕和制定强有力的网络安全策略的必要性,以降低与这些犯罪相关的风险和经济损失,”帕拉尼奥斯解释道。
与安全事件相比,系统入侵仍然是主要的安全漏洞模式,其中拒绝服务 (DoS) 攻击仍然占据主导地位。社交工程和各种错误模式的攻击数量较去年显著增加。另一方面,基本 Web 应用程序攻击模式的排名已大幅下降,与 2023 年 DBIR 报告中的排名相比大幅下滑。DBIR 报告还介绍了 MITRE ATT&CK 中最相关的技术以及互联网安全中心 (CIS) 提供的相应关键安全控制措施,这些措施可用于缓解以下几种攻击模式:系统入侵、社交工程、基本 Web 应用程序攻击、各种错误、DoS 攻击、资产盗窃或丢失以及滥用权限。
这位专家表示:“掌握了这些信息,各组织就可以改进防御措施,更好地应对网络犯罪分子带来的挑战,从而更有效地抵御不断演变的网络威胁。”
