針對企業的網路攻擊往往需要受害者獲得總收入的 24%

近年來，金融犯罪日益複雜，促使網路犯罪分子尋求漏洞並進行越來越創新的攻擊。 可觀的經濟利益使這些網路犯罪分子開發新技術並改進已知的方法，從而顯著增加勒索的網路攻擊。.

根據 Verizon 的 2024 年資料外洩調查報告，大約三分之一的違規行為 (32%) 涉及勒索軟體攻擊或其他一些勒索技術。 去年純勒索攻擊增加，現在佔所有違規行為的 9%。 這些數字強化了過去三年觀察到的情況：勒索軟體和其他違規行為的結合造成了近三分之二的網路攻擊，其財務動機在 59% 和 66% 之間。.

同樣地，在過去兩年中，四分之一的財務動機攻擊（介於 24% 和 25% 之間）涉及藉口技術，一種社會工程攻擊類別，當虛假敘述或令人信服的藉口被創建以說服受害者透露個人或敏感數據時，其中大部分代表商業電子郵件妥協 (BEC) 案例，這些案例涉及代表公司發送電子郵件的虛假信息。.

“「勒索軟體攻擊對公司在財務和技術上都產生了毀滅性的影響，並嚴重損害了公司的形象。 雖然後果很大，但這些攻擊通常從簡單的執行事件開始，例如洩漏的憑證或社會工程技術。 這些最初的方法，通常被公司忽略，可以為網路入侵打開大門，導致數百萬美元的損失和客戶的信任失去」，巴西阿普拉網路情報局的 CCO Maurício Paranhos 與 Verizon 報告合作，他解釋道。.

Paranhos 強調，了解網路勒索情境是 Apura 等公司繼續制定一系列解決方案和措施，以減輕犯罪分子行動的基本關鍵。 因此，有必要觀察數據並嘗試從它們中提取盡可能多的信息。.

最容易量化的成本之一是與贖回付款相關的金額。 分析今年的 FBI 犯罪申訴中心 (IC3) 統計資料集，發現已支付贖金的人的調整後中位數損失（在透過檢查收回資金後）約為 $ 46,000。 該值代表與上一年度的中位數顯著增加，即 US$ 26,000。 然而，重要的是要考慮到今年只有 4% 的勒索嘗試會導致真正的損失，而去年的 7%。.

分析數據的另一種方法是將救援需求佔受害者組織總收入的百分比。 初始贖回請求的平均金額相當於組織總收入的 1.34%，其中 50% 的要求從 0.13% 到 8.30% 不等。這種廣泛的變化表明，一些更嚴重的案件需要高達受害者總收入的 24%。 這些價值範圍可以幫助組織運行風險場景，並仔細研究與勒索軟體攻擊相關的潛在直接成本。.

“「儘管還應考慮許多其他因素，但這些數據為了解勒索軟體攻擊的財務維度提供了寶貴的起點。 這些攻擊事件的發生率不斷增加，以及網路犯罪分子使用的技術多樣性，強化了持續監控和強有力的網路安全策略的必要性，以減輕與這些犯罪相關的風險和財務影響」，Paranhos 解釋道。.

系統入侵仍然是違規的主要模式，而不是事件，拒絕服務 (DO) 攻擊仍然存在。 自去年以來，社會工程標準和各種錯誤的模式都顯著提高。 另一方面，基本的 Web 應用程式攻擊標準急劇下降到 2023 DBIR 中的位置。 DBIR 報告還介紹了 Miter Att&ck 最相關的技術和互聯網安全中心 (CIS) 的各自關鍵安全控制，可用於減輕其中的幾個標準：系統入侵、社會工程、對 Web 應用程式的基本攻擊、雜項錯誤、盜竊或資產損失、侵權使用。.

“專家說：「有了這些資訊，組織可以改善防禦能力，並更好地應對網路犯罪分子所帶來的挑戰，從而確保在不斷發展的過程中更有效地保護網路威脅。」.