【CrowdStrike調查報告】96%受害企業俾贖金後 須再付數十萬美元額外贖金
知名勒索軟件集團近來雖然經常被多國政府迎頭重擊,不過,相關威脅依然不可掉以輕心。網絡安全公司 CrowdStrike 發表的一份調查報告顯示,平均贖金按年已上升 63%,而亞太區的贖金更屬全球最高,受害企業被要求的贖金平均高達 240 萬美元。另外,96% 決定支付贖金的受害企業更會被額外勒索數十萬美元……俾錢都未必可以完全將問題斷尾。
在最新發表的 2021 CrowdStrike Global Security Attitude Survey 報告中,一共訪問了 2,200 個網絡安全決策者及資深 IT 員工的意見,而收集的樣本來自美國、歐洲、中東及亞太等地區,報告內容有廣泛的代表性。而報告其中一部分主要針對勒索軟件的狀況,66% 受訪者表示過去一年至少遭受一次勒索軟件攻擊,較去年同期上升 63%。不同地區受害企業最終支付的平均贖金有差異,如歐洲及中東地區為 130 萬美元,美國為 160 萬美元,亞太地區則最高,達 240 萬美元。
不過,勒索軟件集團一開始要求的贖金額卻遠比上述數字高,平均要求 600 萬美元。CrowdStrike 專家解釋,因為現時企業大多熟悉勒索軟件集團的運作手法,亦能評估外洩資料的重要性,因此較能商議出一個合理的贖金金額,而不會單方面捱打。
CrowdStrike 專家警告,雖然不少企業都能減少發生事故時的損失,但大部分企業管理者仍然錯判形勢,以為即時出事也可以金錢解決問題。從問卷結果可見,企業即使支付了贖金,卻不代表可回復正常,因為在不清楚存在的漏洞下,勒索軟件集團很快又會施展同一手法入侵,一來對方知道企業會付款,二來入侵亦全無難度,對方自然會食髓知味再度搵上門,報告指遭受二次攻擊的受害企業,平均要額外支付約 80 萬美元的贖金。
專家建議企業應將資源投放在網絡安全工作上,因為贖金只會壯長勒索軟件集團提升技術,而且付費解鎖亦無助企業改善安全態勢。特別是現時企業處理安全事故的效率不高,平均需要 146 小時才能發現網絡安全事故,在發現後平均要花 11 小時去調查及分流,然後再用 16 小時處理及修復,面對現時黑客集團以快打慢的攻勢,企業便很難避免成為受害者。
