區塊鏈分析業者 Chainalysis 最新報告揭示一個耐人尋味的矛盾:
2025 年全球勒索軟體攻擊數量創歷史新高,受害者數量年增 50%,但整體勒索收益卻年減 8%,降至 8.2 億美元,這是連續第二年總收益下滑,甚至低於 2020 至 2021 年的水準。
值得注意的是,隨著新事件與付款持續被歸因,最終數字可能「逼近或超過」9 億美元。然而,整體趨勢仍指向一個關鍵轉折:
受害者願意付款的比例正在崩跌。
付款率跌至歷史低點,但願意付款者支付更多
付款率從 2024 年的 63% 暴跌至 2025 年的 29%,創下有紀錄以來最低。然而,對於仍選擇付款的組織而言,代價愈來愈高昂:中位數付款金額從 2024 年的 12,738 美元暴增 368%,達到 59,556 美元。
Chainalysis 分析師指出,
攻擊者開始主動聯繫受害企業的員工與客戶,並深入分析竊取的資料以發動更精準的威脅,藉此強化勒索壓力。整體而言,攻擊者採取「以質換量」策略,讓成功勒索的次數減少,但每次勒索的金額卻更高。
四大結構性變化重塑勒索生態
Chainalysis 報告歸納出四項驅動付款率下滑的結構性原因:
- 第一,事件響應(Incident Response)能力提升,加上各國監管機構對勒索付款的限制趨嚴,使受害組織更願意選擇不付款。
- 第二,全球執法機構打擊勒索軟體營運者、基礎設施及洗錢網路,壓縮了收益流動管道。
- 第三,部分勒索軟體變種(如 VolkLocker)存在加密實作缺陷,安全研究人員得以在特定情況下免費解密。
- 第四,勒索軟體即服務(RaaS)模式持續碎片化,催生大量規模較小的獨立攻擊組織,目前估計多達 85 個。
Chainalysis 在報告中指出,這個整體趨勢代表對抗勒索軟體生態系的重要勝利。受害者付款減少,意味著攻擊者投入更多心力,卻獲得更少收益,而這是扭轉經濟誘因的關鍵一步。
身分憑證竊取主導初始入侵
資安廠商 Sophos 發布的《2026 年主動攻擊者報告》(Active Adversary Report 2026)則從攻擊手法角度提供了更細緻的視角。該報告分析了 2024 年 11 月至 2025 年 10 月間處理的 661 起事件響應與託管式偵測及響應 (MDR)案例,涵蓋 70 個國家的受害組織。
報告最核心的發現是:
身分相關技術(Identity-related techniques)
佔所有入侵根本原因的 67%,
涵蓋憑證竊取、暴力破解、網路釣魚等手法。這些手法的共同特點是針對人與帳號,而非仰賴已知漏洞,因此無法單靠修補程式解決。
Sophos 研究人員強調,身分相關攻擊已超越漏洞利用與其他技術性入侵手段,成為最常見的入侵起點。
從入侵到控制目錄服務僅需 3.4 小時
取得初始存取權限後,攻擊者通常會迅速鎖定集中式身分基礎設施。報告顯示,
攻擊者從入侵開始到觸及活動目錄(AD)的中位數時間僅需 3.4 小時。
活動目錄因掌控企業環境中的身分驗證、授權及群組政策,長期是高價值目標。一旦攻擊者取得 AD 控制權,便能全面掌握帳號清單、群組成員及管理路徑。
整體而言,報告中的中位數潛伏時間為三天,即從惡意活動開始到防守方偵測出異常的時間間隔。三天的時間足以完成偵察、憑證蒐集、權限提升,以及部署勒索軟體或資料竊取的前置準備。
勒索軟體與資料竊取多發生在非上班時間
Sophos 報告另一項關鍵發現是攻擊時機的刻意選擇。
88% 的勒索軟體加密行為發生在非上班時間,資料外洩同樣有 79% 集中於非工作時段。
這意味著攻擊者刻意利用企業資安人力最薄弱的時間窗口發動最具破壞性的行動,對全天候監控能力的需求因此更加迫切。
生成式 AI 加速攻擊規模,但核心手法未變
關於外界關注的生成式 AI 影響,研究人員認為,AI 目前主要用於提升釣魚郵件的語言品質與個人化程度,並加快惡意腳本與詐騙內容的產出速度。本質上,AI 是現有手法的「倍增器」,而非帶來全新的攻擊向量。
研究人員指出,儘管生成式 AI 終將跨越完全自主攻擊的門檻,甚至發展出全新攻擊手法,但那一刻尚未到來。身分竊取、目錄服務攻擊、勒索軟體部署及資料外洩,仍是當前的核心攻擊手法。
企業防護建議
資安專家建議企業優先採取以下措施:
- 強化身分驗證機制,導入多因素驗證(MFA)並定期稽核帳號權限
- 對活動目錄實施嚴格存取控管,縮短攻擊者從初始入侵到掌控目錄服務的時間窗口
- 建立全天候監控能力(涵蓋非上班時間),特別針對大量加密或異常資料傳輸設置告警
- 制定並演練勒索軟體事件響應計畫,提升不付款即可恢復營運的能力
- 持續關注 RaaS 碎片化趨勢,防範數量龐大的小型獨立攻擊組織
本文轉載自 HelpNetSecurity、InfosecurityMagazine。