資安廠商發表 2022 年勒贖軟體 14 大攻擊目標研究報告
- 發布單位:TWCERT/CC
- 更新日期:2023-02-14
- 點閱次數:8554
資安廠商 Sophos 日前發表研究報告,指出 2022 遭到勒贖攻擊最嚴重的 14 大目標,分別是媒體、娛樂與休閒產業、零售業、能源與公用事業、物流與運輸、企業與專業服務、醫療產業、高等教育、營建業與物業管理、IT 科技與電信業、中央及聯邦政府、地方與州政府、初級教育、製造業、金融業等。
媒體、娛樂與休閒產業高居 14 大目標的第一位。據統計指出,2022 年這些產業遭勒贖攻擊較前一年上升高達 147%,且在 12 個月內有高達 79% 曾遭勒贖攻擊。第二名的零售業在 2022 年中有 77% 曾遭勒贖攻擊,其中包括瑞典連鎖超市 Coop,曾因勒贖攻擊其收銀系統而被迫關閉 800 家門市達 3 天之久。
第三名是能源與公用事業,2022 年有 75% 業者曾遭勒贖攻擊;最著名的案例就是 Colonial Pipeline 遭駭,造成美國東岸的燃油供應中斷數日之久。第四名的物流與運輸業,在 2022 年有 74% 業者亦曾遭勒贖攻擊;而在 Sophos 的調查中,物流運輸業在支付贖金後,能救回的資料比例也最低,僅能救回 50% 資料。
第五名的企業、專業與法律服務業,也有高達 73% 在去年曾遭攻擊。資安專家指出多數企業未能隨時更新其使用軟硬體,同時也缺乏資安人員,以致經常遭到損失或快速支付贖款。
之後的行業排名與其遭勒贖攻擊比例如下:
- 其他:69%
- 醫療產業:66%
- 高等教育:64%
- 營建與物業管理:63%
- IT、科技與電信:61%
- 中央/聯邦政府:60%
- 地方/州政府:58%
- 初等教育:56%
- 製造業:55%
- 金融業:55%
各行各業平均遭勒贖攻擊比例高達 66%,可見勒贖攻擊之為害甚烈,幾乎人人都是受害者。
勒贖攻擊的對象已從早期以金融與大企業為主,發展至今可謂無差別攻擊,人人都可能遭到勒贖攻擊;因此建議不論組織或個人都須提高資安防護能力與意識,並且隨時更新所使用的軟硬體至最新版本。