近年來,金融犯罪手段日益複雜,促使網路犯罪者不斷尋找漏洞,實施更具創新性的攻擊。巨額經濟利益的誘惑驅使這些網路犯罪分子開發新技術,並改進現有方法,導致勒索型網路攻擊顯著增加。
根據Verizon發布的《2024年資料外洩調查報告》,約有三分之一的資料外洩事件(32%)涉及勒索軟體攻擊或其他敲詐勒索手段。純粹的敲詐勒索攻擊在去年有所增加,目前佔所有資料外洩事件的9%。這些數據印證了過去三年觀察到的現象:勒索軟體和其他敲詐勒索手段相結合,導致了近三分之二的以經濟利益為目的的網路攻擊,這一比例在此期間波動於59%至66%之間。
同樣,在過去兩年中,四分之一的以經濟利益為目的的攻擊(佔 24% 到 25%)涉及了預設情境技術,這是一種社會工程攻擊,攻擊者會編造虛假的故事或令人信服的藉口來誘騙受害者洩露個人或敏感數據,其中大多數屬於商業電子郵件入侵 (BEC) 案例,即以公司名義發送虛假電子郵件。
「勒索軟體攻擊對企業造成了毀滅性的打擊,不僅在財務上和技術上,而且嚴重損害了企業的形象。儘管後果巨大,但這些攻擊往往始於簡單的執行事件,例如憑證洩露或社交工程攻擊。這些企業常常忽視的初始手段,可能會打開網絡入侵的大門,導致數百萬美元的損失和客戶信任道的喪失,」巴西公司 Intelura 分析公司 Intelura 的首席商務官。該公司參與了 Verizon 報告的撰寫。
帕拉尼奧斯強調,了解網路勒索情況對於像Apura這樣的公司至關重要,只有這樣,它們才能持續開發一系列解決方案和措施來減輕犯罪分子的侵害。因此,必須分析數據,並儘可能從中提取資訊。
最容易量化的成本之一是支付贖金所造成的損失。分析今年聯邦調查局網路犯罪投訴中心 (IC3) 的統計數據發現,支付贖金者的損失中位數(執法部門追回款項後)約為 46,000 美元。這比上一年的 26,000 美元中位數顯著增加。然而,值得注意的是,今年只有 4% 的勒索未遂案件最終導致實際損失,而去年這一比例為 7%。
另一種分析資料的方法是檢視贖金要求佔受害組織總收入的百分比。平均初始贖金要求相當於組織總收入的1.34%,其中50%的贖金要求介於0.13%至8.30%之間。如此大的差異表明,一些最嚴重的案例甚至要求高達受害組織總收入的24%。這些數值範圍可以幫助組織進行風險情境分析,更深入了解勒索軟體攻擊可能帶來的直接成本。
「雖然還需要考慮許多其他因素,但這些數據為了解勒索軟體攻擊的經濟影響提供了一個寶貴的起點。此類攻擊事件的日益增多以及網路犯罪分子所用技術的多樣性,都凸顯了保持警惕和製定強有力的網路安全策略的必要性,以降低與這些犯罪相關的風險和經濟損失,」帕拉尼奧斯解釋道。
與安全事件相比,系統入侵仍然是主要的安全漏洞模式,其中拒絕服務 (DoS) 攻擊仍然佔據主導地位。社交工程和各種錯誤模式的攻擊數量比去年顯著增加。另一方面,基本 Web 應用程式攻擊模式的排名已大幅下降,與 2023 年 DBIR 報告中的排名相比大幅下滑。 DBIR 報告還介紹了 MITRE ATT&CK 中最相關的技術以及互聯網安全中心 (CIS) 提供的相應關鍵安全控制措施,這些措施可用於緩解以下幾種攻擊模式:系統入侵、社交工程、基本 Web 應用程式攻擊、各種錯誤、DoS 攻擊、資產盜竊或遺失以及濫用權限。
這位專家表示:“掌握了這些信息,各組織就可以改進防禦措施,更好地應對網絡犯罪分子帶來的挑戰,從而更有效地抵禦不斷演變的網絡威脅。”
