Sophos今天發布最新行業調查報告《2024 年關鍵基礎設施的勒索軟體現況》。該報告顯示過去一年中,能源和水利兩個關鍵基礎設施行業的中位數復原成本暴增四倍,達到 300 萬美元。這是全球跨行業中位數的四倍。此外,針對這兩個關鍵基礎設施行業的勒索軟體攻擊,其中 49% 是源自於漏洞利用。
《2024 年關鍵基礎設施的勒索軟體現況》報告的數據,是來自 275 名來自能源、石油和天然氣以及公用事業組織的受訪者,這些組織屬於美國國土安全部 (CISA) 定義的 16 個關鍵基礎設施行業中的能源業和水利業。這份行業調查報告的結果,是來自於 2024 年 1 月至 2 月,涵蓋 14 個國家和 15 個行業對不限廠商的 5000 名網路安全/IT 領導者所進行調查的一部分。
Sophos 全球現場技術長 Chester Wisniewski 表示:「犯罪分子會將重心擺在能造成最大痛苦和破壞的地方,如此一來社會大眾會要求快速解決問題。而他們指望這些組織會為了更快恢復服務而交出贖金。這使得公用事業成為勒索軟體攻擊的主要目標。由於這些事業提供的是基本民生功能,社會大眾會要求公用事業迅速復原並將干擾降至最低。
「不幸的是,公用事業不僅是吸引攻擊的目標,而且在許多方面都很脆弱,包括對高可用性和安全性的需求,以及偏重實體安全的工程思維。有許多較舊的技術被配置為支援遠端管理,但卻沒有現代化的安全控制,例如加密和多因素驗證。此外,如同醫院和學校一樣,這些公共事業營運時通常人手不足,且缺乏讓系統保持最新狀態的 IT 人員,包括安裝最新修補程式、最新的安全漏洞,以及早期偵測和回應所需的監控。」
除了不斷增加的復原成本外,這兩個行業的組織在 2024 年的贖金支付中位數上升到超過 250 萬美元,比全球跨行業的中位數高出 50 萬美元。能源和水利業者回報的勒索軟體攻擊率也高居第二位。總體而言,2024 年這些行業中有 67% 的組織回報遇到勒索軟體攻擊,而全球跨行業的平均比例則為 59%。
報告的其他發現包括:
- 能源和水利行業反映復原時間越來越長。2024 年,只有 20% 遭受勒索軟體攻擊的組織能在一週內或更短時間內復原,而 2023 年這一比例為 41%,2022 年則為 50%。55% 的組織需要一個月以上的時間才能復原,高於 2023 年的 36%。相比之下,在所有行業中,需要一個月以上的時間才能復原的公司只有 35%。
- 相較於調查中的其他行業,這兩個關鍵基礎設施行業回報的備份被破壞率最高 (79%),被加密率第三高 (80%)。
Wisniewski 補充道:「這再次表明,支付贖金幾乎總是不符合我們的最佳利益。越來越多組織 (61%) 為了復原而支付贖金,但復原所需的時間卻變長了。這些高比例和高額的贖金不僅變相鼓勵惡意分子對該行業發動更多攻擊,也沒能實現縮短復原時間的目標。
這些公用事業必須體認到它們已成攻擊目標,並應採取積極行動,監控存在於遠端存取和網路設備的漏洞,以及確保擁有全天候的監控和回應能力,以減少故障和縮短復原時間。它們應提前準備事件回應計畫,就像因應火災、洪水、颶風和地震一樣,並定期進行演練。」