据勒索软件协商公司Coveware的数据显示,2023年第四季度,支付勒索赎金的勒索软件受害者比例已降至历史最低,仅为29%。其实早在2021年年中,当时的支付率从2019年初的85%下滑至46%,这一趋势已经逐渐明显。
勒索支付率来源:Coveware
据Coveware分析,支付勒索金比例持续下降的原因复杂多样,包括企业和组织更加完善的防范措施,缺乏对网络犯罪分子承诺不会泄露被盗数据的信任,以及某些地区明令禁止支付赎金所产生的压力。
Coveware研究发现,即便在遭受网络攻击且数据被盗的情况下,上一季度的赎金支付率也仅为26%。
不仅支付勒索软件赎金的受害者数量减少,实际支付的赎金金额也有所下降。Coveware指出,2023年第四季度的赎金支付平均金额为568705美元,比前一季度下降了33%,而中位数赎金支付额为20万美元。
赎金支付金额来源:Coveware
2023年第四季度,受害机构的规模有所下降,扭转了2022年第二季度以来的发展态势。当时,由于攻击者预见赎金支付率会下降,他们开始转而攻击规模更大的公司,以求获得更高的赎金补偿差额。
勒索软件攻击目标公司的规模来源:Coveware
禁止支付赎金
除了上述统计数据外,Coveware的报告还涉及了禁止支付赎金这一有争议的话题,以及这些禁令可能对被攻击的组织和网络犯罪社区产生的影响。从理论上讲,禁令听起来是个好主意,但在实际操作中并非那么简单。
Coveware表示,如果美国或其他频繁遭受攻击的国家实施了全国性的禁令,遭受攻击的公司很可能会停止向当局报告这些事件,并向不正规的服务提供商寻求帮助。
如果出台此类法律,一夜之间将形成一个庞大的非法市场,所有受害者与执法机构合作取得的进展都将被逆转,这无疑是给自己挖了一个大坑。
Coveware的报告指出:许多受害者会迅速评估风险(公司遭受的重大损失与可能面临的罚款及处罚),然后转向非法市场中寻找解决方案。有些公司仍然会选择上报以确保安全,但任何曾经考虑过支付或决定支付赎金的受害者都会选择保持沉默,因为一旦上报,那就相当于承认了自己的犯罪行为。
Coveware建议加倍强化一些现有机制和举措,加大勒索软件从中获利的难度,包括:
- 加强对勒索支付的报告框架和尽责调查,鼓励进行详细披露和建立决策框架。
- 提供积极报告和合规的安全保障,并结合强制性报告要求,促进与执法部门的合作。
- 对不披露事件的行为处以重罚,同时避免对首席信息安全官(CISOs)个人责任的追究,以维护安全人才队伍。
- 强调与执法部门的长期合作,并明确长期的报告义务,以便有效进行调查。
- 集中采取战略措施,降低勒索支付的吸引力和便利性,进而削弱勒索软件作为盈利性攻击手段的可行性。
遗憾的是,步入2024年,勒索软件依然是全球网络安全领域的一大挑战,现有的解决方案还不足以消灭它们。不过,赎金支付率下降趋势已然证明通过协同努力来对抗这一问题是有效的,这也标志着局势在朝着正确的方向发展。
