針對企業的網路攻擊往往需要受害者獲得總收入的 24%

近年來,金融犯罪日益複雜,促使網路犯罪分子尋找漏洞並進行日益創新的攻擊。巨額經濟收益的承諾使這些網路犯罪分子開發新技術並改進已知的方法,導致勒索網路攻擊大幅增加。

根據 Verizon 的 2024 年資料外洩調查報告,大約三分之一的外洩 (32%) 涉及勒索軟體攻擊或其他一些勒索技術。去年,純粹的勒索攻擊有所增加,目前佔所有違規行為的 9%。這些數字強化了過去三年中觀察到的情況:勒索軟體和其他勒索違規行為的組合佔經濟動機網路攻擊的近三分之二,範圍從 59% 到 66%。

同樣,在過去兩年中,四分之一的經濟動機攻擊(範圍從24% 到25%)涉及藉口技術,這是一類社會工程攻擊,當創建虛假敘述或令人信服的藉口來說服受害者透露資訊時個人或敏感數據,其中大多數代表商業電子郵件妥協 (BEC) 案件,涉及代表公司發送虛假電子郵件。

勒索軟體攻擊對企業在財務和技術上造成毀滅性影響,並嚴重損害公司形象。儘管後果是巨大的,但這些攻擊往往始於簡單的執行事件,例如洩漏的憑證或社會工程技術。這些最初的方法經常被公司忽視,但可能會為網路入侵打開大門,從而導致數百萬美元的損失和客戶信任的喪失,與 Verizon 報告合作的巴西 Apura Cyber Intelligence 的 CCO Mauricio Paranhos 解釋道。

Paranhos指出,了解網路勒索場景是Apura等公司繼續開發一系列解決方案和措施來減輕犯罪分子行為的根本關鍵。因此,有必要觀察數據並嘗試從中提取盡可能多的信息。

最容易量化的成本之一是與支付贖金相關的金額。分析今年FBI網路犯罪投訴中心(IC3)的統計資料集發現,支付贖金者的調整後損失中位數(透過檢查收回資金後)約為46,000美元。這一數字比上一年的中位數(US$ 26,000)顯著增加。然而,重要的是要考慮到,與 % 相比,今年只有 4% 的勒索企圖造成了實際損失。

另一種分析數據的方法是觀察贖金需求佔受害者組織總收入的百分比。初始贖金請求的平均值相當於該組織總收入的 1.34%,其中 50% 的需求範圍在 0.13% 和 8.30% 之間。這種巨大的差異表明,一些最嚴重的案件甚至需要受害者總收入的 24%。這些數值範圍可以幫助組織執行風險場景,並仔細研究與勒索軟體攻擊相關的潛在直接成本。

“儘管還必須考慮許多其他因素,但這些數據為理解勒索軟體攻擊的財務層面提供了寶貴的起點”。這些攻擊發生率的增加以及網路犯罪分子使用的技術的多樣性強化了持續監視和強有力的網路安全策略的必要性減輕與這些犯罪相關的風險和財務影響。"帕拉尼奧斯解釋道。

系統入侵仍然是主要的違規模式,而不是事件,拒絕服務 (DoS) 攻擊仍然占主導地位。自去年以來,社會工程和雜項錯誤標準均顯著增加。另一方面,基本 Web 應用程式攻擊標準較 2023 年 DBIR 中的位置大幅下降。 DBIR 報告還介紹了最相關的 MITRE ATT&CK 技術以及各自的關鍵互聯網安全中心 (CIS) 安全控制,這些控制可用於減輕其中幾個標準:系統入侵、社會工程、對應用程式的基本攻擊、濫用資產、濫用 Web 應用程式或資產。

這位專家表示:"掌握了這些信息,組織可以增強防禦能力,更好地應對網路犯罪分子帶來的挑戰,從而確保更有效地抵禦不斷變化的網路威脅。"。