2023 年 Ransomware 防御报告

我们为什么要做这个调查 4 主要发现 8 最后的想法 26 关于 SpyCloud 27 INTRODUCTION 在今年的报告中期待什么 在过去几年中，我们见证了工作场所的数字化转型，使得随时随地工作和协作变得常规而非例外。许多组织欢迎这一新现实，但它们在努力跟上数字增长的快速步伐和不断扩大的攻击面时遇到了困难，未能及时更新其安全防御措施。 去年， 我们发现组织正在失势 ， 并感到 然而，网络犯罪分子在数字化和云优先的环境中并未遇到任何问题，他们迅速转向下一代战术以窃取数据和访问权限，安全运营团队（SecOps）则越来越落后——与此同时，遭受诸如勒索软件等网络攻击的风险处于历史最高水平。 较少关于 fi 他们的防御比 之前。今年的 在你挖掘之前的一些背景 勒索软件防御 在2022年9月发布我们的最后一份《勒索软件防御报告》之后，勒索软件攻击显示出一些减缓的迹象。犯罪分子尝试了其他策略，而政府机构则加强了打击力度，攻击数量有所下降。调平到年底。但那一线希望很快熄灭，2023年攻击者的速度加快，我们正朝着第二昂贵的一年历史上的勒索软件。 报告检查如何 安全前线和 实践和优先事项 即使在这一起伏之中，勒索软件攻击的复杂性和影响也有所增长。至少出现了一个具备双重勒索能力的新勒索软件团伙。浮出水面去年每个月 ， 而勒索软件攻击的平均成本上升到513 万美元- 超过数据泄露的平均成本。 并且有一件事没有改变：无论组织的规模和行业如何，勒索软件仍然是它们继续面临的一项最严峻的网络安全挑战。在SpyCloud的研究中，2023 年恶意软件和就绪防御报告安全领导者和从业者将勒索软件列为对其组织安全的最大威胁。 我们为什么要做这个调查 正如我们在调查结果中指出的那样 ， 勒索软件的防御措施并没有跟上网络犯罪分子的步伐。我们进行这项调查是为了揭示其中一个原因 ： 一种新兴的威胁 ， 可能是勒索软件事件的预警信号 - 窃取信息的恶意软件或信息窃取者。 犯罪分子正在使用信息窃取器窃取身份验证数据 - 包括具有可访问企业网络和应用程序的信息的日志 - 并将数据出售给勒索软件运营商。通过对重新捕获的 ifostealer 日志的深入分析，我们发现 ifostealer 恶意软件的存在与公司在不久的将来经历勒索软件事件的可能性有关。 INFOSTEALER - RANSOMWARE 连接 ， 断开 SpyCloud 研究人员使用来自的勒索软件事件数据进行了详细分析ecrime. ch还有我们自己的地下犯罪记录数据库.在2023年遭受勒索软件攻击的2613家北美和欧洲公司中，30%的公司在遭到攻击之前至少感染过一次信息窃取者病毒。 我们的分析还表明 ， 特定信息窃听器感染的存在 — — 浣熊、维达和红线 — — 增加了公司经历勒索软件事件的概率。 THE最受欢迎的 INFOSTEALER 家庭与随机受害者公司相关 拥有Raccoon、Vidar和Redline信息窃取器的公司在感染后平均16周内经历了勒索软件事件。 IN 2023, 北美和欧洲 RANSOMWARE AD受害者公司 H 在被攻击之前的 INFOSTEALER 感染。* 许多组织未能全面消除信息窃取器和其他恶意软件感染，主要侧重于保护 感染设备并跳过对暴露凭证和活跃会话数据的关键修复，使其仍然处于暴露状态。 follow - on attacks. In addition to present survey results in this report, we offer insights about how comprehensive 感染后修复可以帮助防止勒索软件攻击 - 并最终使安全团队能够领先于攻击者。 关于 SpyCloud 勒索软件报告 自2021年以来，SpyCloud从安全领导者和实践者的视角收集了关于勒索软件对其组织及防御实践影响的见解。在本报告的第三年，我们继续分析与这一昂贵网络威胁演变相关的趋势。 我们对在美国、加拿大和英国等地至少拥有500名员工的企业中活跃在网络安全岗位上的316名个人进行了调查。我们问他们： 报告还提供了支持更为完整的补救周期的下一代策略的见解。我们鼓励您关注这些趋势，并了解最佳实践如何演变以适应新的勒索软件战术、技术和程序（TTPs）。 调查人口统计 SpyCloud向来自不同角色的个人征求了回应，这些角色范围从网络安全分析师到首席安全执行官不等。参与的316名受访者主要来自领导层：其中37%是网络安全总监、经理或团队负责人；29%是CIO、CISO和安全执行官（如图1所示）。 调查组织的规模横跨从小型企业（500-999名员工）、中型企业（1,000至9,999名员工）到大型企业（10,000名及以上员工）。最大的两个群体代表中型企业：拥有1,000至4,999名员工的企业占30%，拥有5,000至9,999名员工的企业占23%。最大的企业（10,000名及以上员工）占受访者总数的28%（图2）。 关键发现1 好的消息？我们发现遭受勒索软件影响的组织数量以及支付赎金的组织数量较上一年有所下降。这可能反映了2022年下半年勒索软件活动的暂时放缓，在2023年上半年再次加剧之前的情况。然而 ， 总体而言 ， 勒索软件的影响仍然很高 ， 81% 的受访组织在过去 12 个月中至少受到过一次影响 ， 48% 的受影响组织支付了赎金。只有12%的受影响者认为一年内的累计成本可以忽略不计，而39%的人表示成本至少为100万美元。然而，影响远不止财务损失。勒索软件还会扰乱运营、损害组织声誉，并耗尽SecOps资源——其影响远不止这些。1. 尽管取得了一些积极进展 ， 但勒索软件攻击的影响仍然很高。 2. 安全团队正在改变他们防御风险最高点的方式——但需要不断调整以 2应对新的攻击途径。 调研参与者再次将钓鱼攻击和社会工程学列为今年勒索软件攻击风险最高的入口点。由于人类行为持续构成问题，安全团队正在改变策略——从用户意识和培训转向技术驱动的对策，以减轻不可避免的人为风险。随着团队对工具的依赖程度增加，他们一致认为自动化工作流程将显著提高其勒索软件防御能力和整体安全态势。这是一个必要的转变，但还需要更多的调整。 3大多数受访者将数据备份和终端设备保护视为主要的防御机制，但这些措施不足以应对网络犯罪分子日益针对未管理设备并窃取身份认证数据以冒充用户并访问组织网络的情况。 和关键业务应用程序。勒索软件 3. 信息窃取恶意软件可能是勒索软件事件的前兆，但团队对此并不担心，并且没有优先处理恶意软件的修复。 组织对防止勒索软件攻击的能力持乐观态度，调查显示，79%的安全专业人士表示对其能够防止全面爆发的勒索软件事件充满信心。然而，他们的乐观情绪可能有些夸大，因为只有19%的组织将优先考虑提高对暴露凭证和恶意软件泄露数据的可见性和修复。此外，受访者将监控受感染的网络会话cookie和令牌列为第三低的应对措施。重要随着今年 infostealer 恶意软件感染更接近攻击 ， 这些发现告诉我们 ， 许多三分之一的组织在感染后的补救工作为后续攻击敞开了大门。 移位随机 MWARE 趋势 正如我们所注意到的，过去一年中勒索软件经历了过山车般的波动。一些行业研究显示2022年呈现出积极的趋势，攻击数量有所减少。调平甚至递减， 勒索软件收入下降40%。但是缓刑是暂时的。在 2023 年第二季度 ， 勒索软件攻击飙升-和勒索软件付款接近记录级别六月。 SpyCloud的调查反映了这些变化的趋势。尽管有些指标呈现出积极的方向，但深入分析后，我们发现实际情况比表面看起来更为严峻。 从积极的一面来看 ， 我们看到受影响的组织减少了 … … 首先，好消息。我们发现过去12个月内至少受到勒索软件影响的组织数量略有下降：今年调查的比例为81%，而去年为90%。此外，我们还看到了一年内受影响的组织数量（包括一次或多次）的下降（图3）。需要注意的是，“受影响”并不一定意味着业务受到了成功的勒索软件事件的影响，而是指在某种程度上受到了影响，需要动用企业资源。 为组织在财务方面带来一些好消息的是，支付赎金的组织数量有所下降（过去12个月的比例为48%，而前一年为65%），并且在支付赎金与否的情况下，部分或完全恢复数据的组织比例略有上升——今年调查中有95%的组织表示成功恢复了数据，而去年这一比例为93%（如图4所示）。 ... 但对整个组织的影响仍然很大 尽管存在一些积极的趋势，但鉴于大多数组织都受到影响，勒索软件仍然是大小组织面临的一大问题。 尽管普遍认为大型组织由于预算和资源的优势更能自我防护，我们的数据显示，员工数超过10,000人的大型企业受到的影响与中型企业相当，超过72%的企业报告至少经历过一次影响。相比之下，小型组织承受了最严重的影响，有90%受到影响（图5）。 组织调查报告至少 81%在过去的 12 个月中 ， 至少有一次被随机 MWARE 影响的 所有人 去年 ， 安全研究人员发现增加在许多行业的平均赎金要求方面可能存在这种情况，可能是由于攻击者试图弥补较低的支付人数。即使受害者选择不支付，他们仍然会遭受远超赎金金额的经济损失。我们调查的受感染组织中，少于12%的组织描述其成本可以忽略不计。39% 的价格超过 100 万美元（ 图 6) 。 难以量化的成本，包括声誉损害、对运营的影响以及资源消耗等，可能与赎金本身相当甚至更高。例如，SpyCloud 的data显示组织内的多个核心团队，而不仅仅是SecOps团队，参与了传统的恶意软件事件响应。考虑到恢复时间 去年在许多行业中增长的时间更长 ， 仅响应的费用就可以迅速增加。 虚假的自信 我们注意到的积极发展也许可以解释为什么79%在接受调查的安全专业人士中，认为自己在接下来的12个月内具备较强或高度防止全面勒索软件攻击能力的比例较为有限（如图7所示）。毕竟，人们的感知受到过往经验的影响。 79% 的回应者他们表示一般相信自己有能力防止 ransomware 事件的发生——但他们的乐观可能并无根据。 基于过去或当前状态衡量信心会导致 complacency（自满），而攻击者一直在不断创新，因此这尤其危险。安全从业人员比安全领导者更了解这一点：高管们在防止攻击方面的普遍信心远高于从业人员。例如，只有71%的响应SecOps从业人员同意他们在这方面具有高度或相当的信心，而高管的比例为91%（如图8所示）。 部门上的聚光灯 我们的调查发现，在过去12个月中至少受到一次勒索软件攻击影响的两个受影响最严重的行业分别是零售业（93%）和科技业（91%）（如图9所示）。这并不令人意外，因为这些行业在地下犯罪网络中暴露的数据量也最多。SpyCloud最近的财富 1000 强曝光报告除其他外 ， 发 另一个可能在过去的十二个月中导致虚假乐观情绪的因素是一段时间内的活动放缓，因为多个勒索软件团伙经历了混乱。各国政府加大了拆解高调组织如Conti和 Rivil 。但是网络罪犯迅速反弹。例如 ， Rivil ，在几个月内重新出现对一家价值数十亿美元的制造公司的攻击。 现 ： 同时 ， 出现了多个新的团体。其中包括Play， 使用自传播技术 ； 以及黑色 Basta,哪个组织发起了广泛的campaign，使用银行木马窃取凭证。仅在2023年第二季度，至少14新的勒索软件即服务小组涌现。正如这些发展所示，行为者数量在增加，战术在演变，犯罪创新的速度已经超过了当前的防御措施。 技术 拥有大部分被篡改的会话cookie（共计154亿个中的126亿个），并且几乎有68,000名受恶意软件感染的员工。 零售 有 588 万被泄露的 cookie 和 11, 950名恶意软件感染的员工。 ...这种认证数据是从感染了信息窃取器的设备中泄露出来的，使网络犯罪分子能够轻松地冒充员工并渗透公司。 偷窃的 cookies