去年勒索軟體肆虐誰是最大受害者？ Sophos：醫療保健業

資安業者Sophos於本周出版了端點安全狀態（The State of Endpoint Security）研究報告，指出去年約有54%的組織遭到勒索軟體攻擊，排名第一的產業為醫療保健，有76%曾淪為駭客攻擊目標，居次的是能源等公用事業（65%），商業及專業服務以59%位居第三。

Sophos調查了10個國家的2700名IT管理人員，顯示去年每個組織平均遭遇兩次的勒索軟體攻擊，受害最嚴重的國家為印度，有67%的攻擊發生在當地，墨西哥及美國則以65%及60%分居二、三名。

語言在相關攻擊中看似扮演了重要的角色，主因為勒索軟體通常始於網釣郵件，基於英文的電子郵件至少可用在所調查的6個國家中，而日文郵件則只能用於日本，使得日本遭到攻擊的比例只有41%，排名第十。

此外，儘管醫療保健與金融服務都擁有可貴的數據，但金融服務卻只有45%曾遭勒索軟體攻擊，排名最末位。Sophos分析，這是因為醫療保健產業的IT基礎設施通常較為老舊，經常未修補安全漏洞，再加上IT安全的資料有限，以及被視為最有可能支付贖金的產業，種種因素都讓醫療保健業者成為駭客的首選。(來源：Sophos)

另一個重要的發現是，駭客並不在意攻擊對象的規模，1000名員工以下的企業與5000名員工以下的企業遭到勒索軟體攻擊的機會差不多。

至於被勒索軟體襲擊的成本並不只有贖金，還包含了停機時間、工時、裝置成本、網路成本，以及所損失的機會等，每次遭到攻擊的中位數成本為13.3萬美元，最普遍的成本介於1.3萬到7萬美元之間。

Sophos建議，良好的員工訓練將能大幅減少被勒索軟體感染的風險，除了傳統的防毒軟體之外，最好額外部署反攻擊技術，以防範新型態、尚無法被防毒軟體辨識的攻擊行動。