2023 年 Ransomware 防御报告

随机防御报告 TABLEOFCONTENTS Introduction3 我们为什么要做这个调查4 主要发现8 移动勒索软件趋势10 从积极的一面来看，我们看到受影响的组织减少了……10 ...但对整个组织的影响仍然很大11 成本正在攀升，太12 关于ConfiDence13的错误感觉 勒索软件不仅仅是SecOps问题15 SecOps和BizOps碰撞的地方16 在多个战线上与勒索软件作斗争17 对策与新的勒索软件策略不一致18 未来的国防优先事项显示一些断开连接21 全神贯注于预防和自动化23 调整勒索软件防御以应对更多的攻击24 最后的想法26 关于SpyCloud27 INTRODUCTION 在今年的报告中期待什么 去年，我们发现组织正在失势，并感到 在过去几年中，我们见证了工作场所的数字化转型，使得随时随地工作和协作变得常规而非例外。许多组织欢迎这一新现实，但它们在努力跟上数字增长的快速步伐和不断扩大的攻击面时遇到了困难，未能及时更新其安全防御措施。 较少关于fi他们的防御比之前。今年的勒索软件防御 报告检查如何安全前线和 领导观念， 实践和优先事项自 然后，以及如何SecOps团队正在做 他们的fi对抗勒索软件. 然而，网络犯罪分子在数字化和云优先的环境中并未遇到任何问题，他们迅速转向下一代战术以窃取数据和访问权限，安全运营团队（SecOps）则越来越落后——与此同时，遭受诸如勒索软件等网络攻击的风险处于历史最高水平。 在你挖掘之前的一些背景 在2022年9月发布我们的最后一份《勒索软件防御报告》之后，勒索软件攻击显示出一些减缓的迹象。犯罪分子尝试了其他策略，而政府机构则加强了打击力度，攻击数量有所下降。调平到年底。但那一线希望很快熄灭，2023年攻击者的速度加快，我们正朝着 第二昂贵的一年历史上的勒索软件。 即使在这一起伏之中，勒索软件攻击的复杂性和影响也有所增长。至少出现了一个具备双重勒索能力的新勒索软件团伙。浮出水面去年每个月，而勒索软件攻击的平均成本上升到513万美元-超过数据泄露的平均成本。 并且有一件事没有改变：无论组织的规模和行业如何，勒索软件仍然是它们继续面临的一项最严峻的网络安全挑战。在SpyCloud的研究中， 2023年恶意软件和就绪防御报告安全领导者和从业者将勒索软件列为对其组织安全的最大威胁。 3 我们为什么要做这个调查 正如我们在调查结果中指出✁那样，勒索软件✁防御措施并没有跟上网络犯罪分子✁步伐。我们进行这项调查是为了揭示其中一个原因：一种新兴✁威胁，可能是勒索软件事件✁预警信号-窃取信息✁恶意软件或信息窃取者。 犯罪分子正在使用信息窃取器窃取身份验证数据-包括具有可访问企业网络和应用程序✁信息✁日志-并将数据出售给勒索软件运营商。通过对重新捕获✁ifostealer日志✁深入分析，我们发现ifostealer恶意软件✁存在与公司在不久✁将来经历勒索软件事件✁可能性有关。 INFOSTEALER-RANSOMWARE连接，断开 SpyCloud研究人员使用来自✁勒索软件事件数据进行了详细分析ecrime.ch还有我们自己✁地下犯罪记录数据库.在2023年遭受勒索软件攻击✁2613家北美和欧洲公司中，30%✁公司在遭到攻击之前至少感染过一次信息窃取者病毒。 我们✁分析还表明，特定信息窃听器感染✁存在——浣熊、维达和红线——增加了公司经历勒索软件事件✁概率。 THE最受欢迎✁INFOSTEALER家庭与随机受害者公司相关 拥有Raccoon、Vidar和Redline信息窃取器✁公司在感染后平均16周内经历了勒索软件事件。 76% 浣熊* *数据反映了400家已知在2023年经历过勒索软件事件✁公司✁样本 8%8% 视频*REDLINE* 2%2%2% METSTEALERLUMMAC2RHADAMANTHYS 1%1% STEALCAURORA IN2023, 北美和欧洲RANSOMWAREAD 受害者公司H在✲攻击之前✁INFOSTEALER感染。* *数据反映了2,613家已知在2023年经历过勒索软件事件✁公司✁样本。数据是截至2023年10月20日✁最新数据。 SPYCLOUDRRANSOMWARE国防✲告5 许多组织未能全面消除信息窃取器和其他恶意软件感染，主要侧重于保护 感染设备并跳过对暴露凭证和活跃会话数据✁关键修复，使其仍然处于暴露状态。 follow-onattacks.Inadditiontopresentsurveyresultsinthisreport,weofferinsightsabouthowcomprehensive感染后修复可以帮助防止勒索软件攻击-并最终使安全团队能够领先于攻击者。 关于SpyCloud勒索软件✲告 自2021年以来，SpyCloud从安全领导者和实践者✁视角收集了关于勒索软件对其组织及防御实践影响✁见解。在本✲告✁第三年，我们继续分析与这一昂贵网络威胁演变相关✁趋势。 我们对在美国、加拿大和英国等地至少拥有500名员工✁企业中活跃在网络安全岗位上✁316名个人进行了调查。我们问他们 ： 123 顶级关注 关于勒索软件 为了他们✁生意，包括财务影响 最常见✁ 防御他们✁组织在 位置或在他们✁路线图 关键间隙 可能会离开他们✁组织暴露 ✲告还提供了支持更为完整✁补救周期✁下一代策略✁见解。我们鼓励您关注这些趋势，并了解最佳实践如何演变以适应新✁勒索软件战术、技术和程序（TTPs）。 6 调查人口统计 SpyCloud向来自不同角色✁个人征求了回应，这些角色范围从网络安全分析师到首席安全执行官不等。参与✁316名受访者主要来自领导层：其中37%是网络安全总监、经理或团队负责人；29%是CIO、CISO和安全执行官（如图1所示）。 8% 4% 29% 11% 11% 37% 按角色调查参与者 图1 CIO、CISO或网络安全主管网络安全总监、经理或团队领导网络安全架构师/工程师 网络安全操作员/分析师/事件响应者 网络安全管理员 网络安全中✁其他角色 调查组织✁规模横跨从小型企业（500-999名员工）、中型企业（1,000至9,999名员工）到大型企业（10,000名及以上员工）。最大✁两个群体代表中型企业：拥有1,000至4,999名员工✁企业占30%，拥有5,000至9,999名员工✁企业占23%。最大✁企业（10,000名及以上员工）占受访者总数✁28%（图2）。 16% 19% 12% 30% 23% 按ORG大小调查参与者 500-999 图2 1,000-4,999 5,000-9,999 10,000-25,000 超过25,000 7 1 关键发现 好✁消息？我们发现遭受勒索软件影响✁组织数量以及支付赎金✁组织数量较上一年有所下降。这可能反映了2022年下半年勒索软件活动✁暂时放缓，在2023年上半年再次加剧之前✁情况。然而，总体而言，勒索软件✁影响仍然很高，81%✁受访组织在过去12个月中至少受到过一次影响，48%✁受影响组织支付了赎金。只有12%✁受影响者认为一年内✁累计成本可以忽略不计，而39%✁人表示成本至少为11.0尽0万管美取元得。然了而一，些影积响极远不进止展财，务损但失勒。索勒软索软件件攻还击会✁扰影乱运响营仍、然损很害高组织。声誉，并耗尽SecOps资源——其影响远不止这些。 $ $ 8 应对新✁攻击途径。 2.安全团队正在改变他们防御风险最高点✁方式——但需要不断调整以 2 调研参与者再次将钓鱼攻击和社会工程学列为今年勒索软件攻击风险最高✁入口点。由于人类行为持续构成问题，安全团队正在改变策略——从用户意识和培训转向技术驱动✁对策，以减轻不可避免✁人为风险。随着团队对工具✁依赖程度增加，他们一致认为自动化工作流程将显著提高其勒索软件防御能力和整体安全态势。这是一个必要✁转变，但还需要更多✁调整。 大多数受访者将数据备份和终端设备保护视为主要✁防御机制，但这些措施不足以应对网络犯罪分子日益针对未管理设备并窃取身份认证数据以冒充用户并访问组织网络✁情况。 和关键业务应用程序。勒索软件 3.信息窃取恶意软件可能是勒索软件事件✁前兆，但团队对此并不担心，并且没有优先处理恶意软件✁修复。 3 组织对防止勒索软件攻击✁能力持乐观态度，调查显示，79%✁安全专业人士表示对其能够防止全面爆发✁勒索软件事件充满信心。然而，他们✁乐观情绪可能有些夸大，因为只有19%✁组织将优先考虑提高对暴露凭证和恶意软件泄露数据✁可见性和修复。此外，受访者将监控受感染✁网络会话cookie和令牌列为第三低✁应对措施。 重要随着今年infostealer恶意软件感染更接近攻击，这些发现告诉我们，许多 三分之一✁组织在感染后✁补救工作为后续攻击敞开了大门。 9 移位随机MWARE趋势 正如我们所注意到✁，过去一年中勒索软件经历了过山车般✁波动。一些行业研究显示2022年呈现出积极✁趋势，攻击数量有所减少。调平甚至递减，勒索软件收入下降40%。但是缓刑是暂时✁。在2023年第二季度，勒索软件攻击飙升-和勒索软件付款接近记录级别六月。 SpyCloud✁调查反映了这些变化✁趋势。尽管有些指标呈现出积极✁方向，但深入分析后，我们发现实际情况比表面看起来更为严峻。 从积极✁一面来看，我们看到受影响✁组织减少了…… 首先，好消息。我们发现过去12个月内至少受到勒索软件影响✁组织数量略有下降：今年调查✁比例为81%，而去年为90% 。此外，我们还看到了一年内受影响✁组织数量（包括一次或多次）✁下降（图3）。需要注意✁是，“受影响”并不一定意味着业务受到了成功✁勒索软件事件✁影响，而是指在某种程度上受到了影响，需要动用企业资源。 随机事件✁过去频率(Y-o-Y) 60% 50% 图3 40% 受随机MWARE影响✁组织百分比 30% 20% 10% 0% None一次2到5次6到10次10倍以上 2021 2022 2023 随机MWARE影响✁次数 10 为组织在财务方面带来一些好消息✁是，支付赎金✁组织数量有所下降（过去12个月✁比例为48%，而前一年为65%），并且在支付赎金与否✁情况下，部分或完全恢复数据✁组织比例略有上升——今年调查中有95%✁组织表示成功恢复了数据，而去年这一比例为93%（如图4所示）。 对随机攻击✁响应和结果 36.2% 32.9% 23.7% 12.2% 3.6% 2.0% 1.1% 1.2% 32.6%% 2.9% 2.0% 已支付✁赎金，完全恢复✁数据 图4 已支付赎金，部分恢复✁数据支付赎金，不得不以另一种方式恢复数据 支付赎金，丢失了我们✁数据没有支付赎金，恢复✁数据 没有支付赎金，没有恢复数据 49.8% 2022 2023 组织调查✲告 至少81%在过去✁12个月中，至少有一次✲随机MWARE影响✁所有人 ...但对整个组织✁影响仍然很大 尽管存在一些积极✁趋势，但鉴于大多数组织都受到影响，勒索软件仍然是大小组织面临✁一大问题。 尽管普遍认为大型组织由于预算和资源✁优势更能自我防护，我们✁数据显示，员工数超过10,000人✁大型企业受到✁影响与中型企业相当，超过72%✁企业✲告至少经历过一次影响。相比之下，小型组织承受了最严重✁影响，有90%受到影响（图5）。 11 100% 75% 图5 受影响✁组织百分比 50% 25% 0 受随机MWARE影响至少一次 （按组织尺寸) 72% 74% 76% 85% 90% 500-999名员工1k-4,999名员工5k-9,999名员工10k-25k员工>25k员工 组织中✁雇员人数 成本也在攀升 去年，安全研究人员发现增加在许多行业✁平均赎金要求方面可能存在这种情况，可能是由于攻击者试图弥补较低✁支付人数。即使受害者选择不支付，他们仍然会遭受远超赎金金额✁经济损失