全球網絡安全解決方案供應商 Sophos 今日(17日)發布第七份年度《勒索軟件現況報告》(State of Ransomware)。調查獨立於任何供應商,涵蓋來自17個國家的IT及網絡安全主管,旨在了解勒索軟件對企業的影響,以及企業在防禦相關攻擊時的準備程度。今年報告顯示,每五宗勒索軟件攻擊中便有近四宗(79%)源於身份遭盜用,身份憑證已成為最主要的初始存取途徑(Initial Access Vector,IAV)。
駭客攻擊手法正加速轉變,身份攻擊在勒索軟件攻擊中日益普遍正反映出身份已成為駭客部署勒索軟件時的關鍵一環。此外,過去四年穩居攻擊途徑首位的已知漏洞首度跌出榜首,被惡意電郵(26%)及網絡釣魚(24%)取而代之。然而,漏洞仍是極具價值的攻擊目標。在以利用防火牆漏洞的攻擊中,近六成(59%)要求的贖金金額達100 萬美元或以上,相比之下,所有攻擊中提出同等贖金要求的比例為48%。
67%受害企業確認勒索軟件事件是最嚴重身份攻擊
報告亦指出,在遭受勒索軟件攻擊的企業中,資料加密比例反彈至56%,一舉扭轉過往兩年的跌勢。三分之二(67%)的受害企業確認,勒索軟件事件同時亦是他們遭受的最嚴重身份攻擊,反映身份遭入侵已成為勒索軟件的主要入侵途徑。超過一半(56%)的勒索軟件成功攻擊加密資料,當中16%的企業同時遭遇資料加密及竊取。攻擊成功率較2025年的50%上升,但仍低於2023年的高峰(75%)。當資料遭加密後,接近一半(48%)受害企業選擇支付贖金,令過去四年的平均支付率達50%。
只有34%的小型企業(100至250名員工)能在資料被加密或遭勒索前成功攔截攻擊,明顯落後於大型企業(3,001至5,000名員工),後者成功攔截攻擊的比例為46%。在以身份遭入侵為主要原因的勒索事件中,97%的企業已部署多重驗證(MFA),反映單靠MFA並不足以阻止勒索軟件攻擊,而防護漏洞亦會令企業暴露於風險之中。英國錄得所有受訪國家中最高的贖金要求中位數,達250萬美元。
超55%機構能於一星期內恢復運作
儘管駭客不斷改變攻擊手法令企業持續面臨網絡安全挑戰,但企業的復原能力亦顯著提升。企業增加投資備份基礎設施,令他們在遭受勒索軟件攻擊後加速復原;超過一半(55%)的機構能於一星期內恢復運作,當中 16% 更可在一天內復原。
機構在與勒索軟件談判方面繼續取得進展。在選擇支付贖金的機構中,51% 成功談判從而支付低於最初贖金要求的金額。過去兩年,駭客提出的贖金要求中位數下跌 65%,而為恢復數據而支付贖金的機構比例亦降至 48%,為有紀錄以來第二低,僅高於 2023 年的 46%。儘管防禦策略有所改善削弱了駭客獲取贖金的能力,但機構在遭受攻擊後的平均復原成本卻有所上升,目前每宗攻擊的復原成本已達 170 萬美元。

將身份視為基礎安全防線
Sophos建議企業採取以下措施,建立結合技術、人員及流程的一體化AI驅動流程。將身份視為基礎安全防線:企業應優先部署身份威脅偵測與回應(ITDR),在所有存取點全面採用抗網絡釣魚的多重驗證,並定期審核人類及非人類身份。投資備份及復原基礎設施:企業應定期測試備份,離線儲存備份資料或採用不可變更格式,並將備份及復原流程納入事故應變計劃,確保可在高壓情況下執行。
持續管理外露風險:企業應維持嚴謹的修補程式更新時間表,優先保護面向互聯網的資產,並評估如何利用新興AI輔助工具,加快識別及修補漏洞。透過防火牆減少外露風險,並利用防火牆監測數據及早偵測攻擊:企業應確保防火牆能快速更新,若能實現自動化更新則更為理想。如此同時,盡量減少管理員存取介面及用戶入口等面向互聯網的服務;同時將防火牆接入 XDR 及 MDR 解決方案,以利用防火牆遙測數據,在勒索軟件行動前偵測攻擊。
