80%受害者拒絕支付贖金
隨著勒索軟體攻擊的數量和復雜性不斷增加，許多企業對勒索風險的認知也越深刻。Threatpost近日針對 120 名受訪對象進行調查，發現就受害者而言，受打擊最嚴重的行業是科技與製造業（17%和15%的受訪者）。其次則是金融、醫療和關鍵基礎設施。有整整 80% 的受訪者表示他們沒有支付贖金。當中最主要的原因是支付贖金並不能保證獲得解密密鑰，這占了 42% 的答復。這種承認網路犯罪分子不值得信任的說法與 Cybereason 最新公佈的新統計數據相吻合，指出支付贖金實際上可能更容易受到攻擊。有 80% 支付了贖金的組織說他們受到了第二次攻擊，而當中幾乎一半是被同一個威脅集團攻擊，三分之一是被另一個威脅集團攻擊。而讚成支付贖金的受訪者，有 5% 認為，支付贖金比處理業務中斷、數據丟失和補救問題更容易，而另外 2% 的人表示，網路安全保險將涵蓋任何贖金和相關費用。

損失狀況
在 Cybereason 的研究中，大約65%受到勒索軟體攻擊的實體報告了收入損失；大約四分之一不得不完全關閉其業務。大約一半（53%）表示他們的品牌和聲譽受到損害；三分之一（32%）報告說失去了C級人才。

贖金
Cybereason發現，在支付贖金的企業中，35%的企業支付了35萬至140萬美元的贖金，而7%的企業支付的贖金超過140萬美元。Threatpost 也發現，如果不支付贖金，超過一半的受害者（57%）遭受的補救費用不到5萬美元。而在遭受攻擊後支付贖金的受害者中，約有一半的人也支付了不到 5 萬美元的補救費用（不包括贖金），由此可見，支付贖金與不支付書劍所要承擔的補救金額幾乎相去不遠。

當被問及企業應該有哪些重要的防禦措施來防止勒索軟體攻擊時，企業認為關鍵數據的備份（24%）、用戶意識培訓（18%）和端點/設備保護（15%）是最重要的。但實施這些防禦措施說起來容易，做起來難。在抵禦勒索軟體攻擊方面，受訪者提到了一系列的挑戰。其中包括內部威脅，這被認為是最大的挑戰，29%的人說員工缺乏意識（關於電子郵件和社交工程威脅）是一個問題。同時，19%的人說預算限制（沒有錢部署或升級防禦平臺）是一個問題；而18%的人說缺乏補丁和遺留設備是首要挑戰。

Group Salus的調查
與此同時，Group Salus 對 200 名受訪者進行的全國性調查發現，只有15%的中小企業（SMB）高管（定義為每年收入不超過1億美元的領先公司）將勒索軟體視為將導致財務支出的首要威脅。盡管接近 40% 的公司經歷了任何形式的網路攻擊，其中近一半（45%）報告說他們失去了客戶數據，27%說他們因為攻擊而損失了大量的資金。攻擊的平均成本為 200,000 美元。Group Salus的調查還發現，30%的中小企業高管最擔心在網路事件中失去不可替代的數據，25%的人最擔心因對其組織失去信任而永久失去客戶。然而，勒索軟體並沒有被放在首位。Group Salus 首席執行官 Larry Lafferty 在一份媒體聲明中說：「研究表明，自2019年以來，勒索軟體攻擊增加了 50% 以上，那些認為他們不必為網路入侵付費的小企業高管是不現實的。」

參考資料：
https://threatpost.com/ransomware-victims-dont-pay-up/166989/?fbclid=IwAR3XOWBl544lgVMoS1pj0Jyer0uioPq1Fu6I9GywHWv3v_YqW8Spv0gvk_Y