[资安人文章分享] 2024年活跃的勒索软体集团超过 75 个，较2023成长7成多

根据统计，骇客去年在资料外泄网站上公布了近6,000起信息安全事件。尽管执法单位已进行多次大规模扫荡行动，这些勒索软体集团依然活跃，使2024年成为勒索软体攻击的新高峰。

2024年，勒索软体集团数量显著增加。执法单位虽然加强调查 LockBit 等知名组织，并成功瓦解多个网路犯罪服务（包括钓鱼即服务提供商 LabHost 和加密通讯平台 Ghost），但企业仍面临更严峻的攻击威胁。

最新研究报告显示，2024 年活跃的勒索软体集团达 75 个以上，较前一年的 43 个大幅增加。根据研究机构对信息科技与信息安全专业人员进行的大规模调查，发现超过半数的组织遭受成功攻击，其中大多数受害企业被迫暂停部分营运，造成重大营收损失。

此外，信息安全事件发生频率正在加速。2024 年的勒索软体攻击比前一年增加约 15%，而成功的攻击事件从 2024 年 12 月的每天平均 15 起，在 2025 年 1 月更上升至每天 18 起。

以资料外泄事件的发布数量来看，RansomHub、LockBit 和 Play 是 2024 年最活跃的三大勒索软体集团。

根据信息安全研究公司的调查，网路犯罪集团总共入侵近 6,000 个目标，并在暗网的资料外泄网站上公布受害者资料。即使受害企业支付赎金的比例和平均赎金金额都有所下降，RansomHub、LockBit 和 Play 等主要勒索软体组织仍从受害者手中各自获取数千万美元的赎金。

执法单位严打网路犯罪

即使执法单位加强打击力道，勒索软体集团仍持续获利。2024 年 9 月，欧洲执法机关成功瓦解犯罪集团使用的 Ghost 加密通讯平台。11 月，加拿大当局逮捕一名骇客，该骇客入侵 165 家企业的 Snowflake 云端服务，并向受害者勒索 30 万到 500 万美元不等的赎金。12 月，以色列执法单位更逮捕了一名 51 岁的 LockBit 勒索软体开发者。

执法行动虽然确实打击了网路犯罪，但也导致犯罪生态系统更加分散，使更多犯罪集团与服务提供商应运而生。虽然打击危害企业的大型犯罪集团值得肯定，但庞大利润仍不断吸引新骇客成员加入。在执法力量难以触及或受政府庇护的国家，成为勒索软体操作者甚至已成为一个「有保障」的职业选择。

支付赎金并不能确保信息安全安全

勒索赎金金额在各企业间差异极大。根据信息安全顾问公司估计，2024 年第三季企业支付赎金的中位数为 20 万美元(约620万台币)；而研究机构针对 2,500 多家企业的调查则显示，平均勒索金额高达 120 万美元(约3720万台币)。这些数字甚至尚未包含事件调查与系统复原的成本。

遭受重大营收损失的企业比例已增加近一倍。这反映出一个普遍现象：无论是为金钱而来的勒索软体攻击者、民族国家或骇客主义者，都以破坏企业营运为目标。因此，企业必须提升信息安全事件应变能力、加强攻击围堵效率，并做好在遭受攻击时持续营运的准备。

研究显示，支付赎金既无法有效解决资料遗失问题，也无法防止再次遭受攻击。2024 年，有 51% 的企业遭受勒索软体攻击，但其中不到半数实际收到解密金钥，且三分之一的受害企业更被骇客额外勒索。最终，仅 13% 的企业能完整恢复所有资料。

制定能让业务持续营运的备援计画

在降低网路攻击冲击方面，及早发现威胁并建立营运持续计画是关键。根据调查，不支付赎金的企业中，约半数已建置完善的资料备份复原系统，另有相近比例的企业则认为受影响资料价值不足以支付赎金。

在理想状况下，企业应具备快速转移至云端营运或启动其他业务持续计画的能力，以便在最短时间内恢复正常运作。

信息安全研究公司更发现，部分企业透过简单的切换机制，就能将业务完整转移至云端资源并迅速复原，大幅降低勒索软体攻击的冲击。相反地，缺乏网路可视性和安全控管的企业，往往遭受最严重的营运中断。

未修补的系统漏洞、脆弱的密码强度，以及开放的远端桌面通讯埠（RDP）等问题，都会让骇客更轻易地在组织内部横向移动。因此，企业必须确实做好这些基本的信息安全防护工作。

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11608