Beazley Group 是倫敦的一家保險公司,根據該公司於3月21日公布的安全漏洞報告(2019 Breach Briefing report),在2018年分析涉及其客戶3,300起事件中,高達71%的勒索軟體攻擊是針對小型企業,要求贖金平均為11萬6,324美元,其中最高贖金為850萬美元或3,000比特幣,而最高支付贖金為93萬5,000美元。中小型企業最容易成為攻擊的目標,因為他們在維護電腦系統和資訊安全上的預算通常比大型企業少很多,因此使得惡意攻擊者很容易入侵其網路系統。
根據Beazley的報告,在這些受到勒索軟體影響的中小型企業,最容易遭受攻擊的是那些沒有封鎖遠端桌面協定(Remote Desktop Protocol, RDP)的公司,有些勒索軟體甚至要求受害者提供被鎖電腦的管理者存取RDP的權限,以破解加密檔案。Beazley表示,許多小型企業將IT業務外包給承包商,讓他們透過RDP得以遠端存取其網路,攻擊者可掃描網路尋找開放的RDP通訊埠,並可試圖暴力破解弱式密碼,沒有變更預設RDP通訊埠或沒有使用強式密碼的公司便容易遭受攻擊。分析報告顯示,勒索軟體所針對的企業中,前三大類別是醫療保健(34%)、專業服務(12%)和金融機構(12%)。
該報告調查,所有事件中駭客或惡意軟體造成的攻擊佔了將近半數(47%),其中約有一半來自商用電子郵件詐騙(business email compromise, BEC)攻擊,另外也發現,自2017年至2018年有關BEC的攻擊件數上升了133%,要保人所支付最高BEC索賠額超過250萬美元,BEC索賠平均額則約為7萬美元。
參考資料:
- Sergiu Gatlan, 70% of Ransomware Attacks Targeted SMBs, BEC Attacks Increased by 130%, Bleeping Computer 2019/03/22
- Beazley Breach Briefing – 2019, beazley 2019/03/21
