‫ تقریباً سه چهارم حملات سایبری شامل باج افزار است

باج افزار همچنان شایع‌ترین سناریوی "پایان بازی" در یک حمله سایبری است و در سال 2020، 68.4٪ از تمام حوادثی که تیم پاسخ به حوادث (IR‏) Sophos X-Ops به آن‌ها پاسخ داد، مربوط به باج افزار بود. این اطلاعات از گزارش فعال Adversary Report for Business Leaders شرکت Sophos استخراج شده است که یک نگاه عمیق به تکنیک‌ها و رفتارهای حملات تهدیدات در حال تحول را ارائه می‌دهد.

اگرچه نرخ رشد نمایی حملات باج افزار در سال‌های اخیر کمی کاهش یافت - به دلایل مختلفی از جمله تأثیر جنگ دراوکراین بر سیستم جرمی روسیه - اما هنوز هم به طور قابل توجهی شایع‌تر از سایر نوع حملات است. در مقابل، دومین نوع شایع‌تر حادثه - نفوذ ساده در شبکه - فقط 18.4٪ از حادثه‌ها را تشکیل می‌دهد.

سوفوس اعلام کرد که باج افزار همیشه در آمار کلی مهم خواهد بود، زیرا این نوع حملات سایبری قابل مشاهده است و به کمک بسیاری از متخصصان نیاز دارد. تیم X-Ops همچنین گفت که بسیاری از نفوذهای شبکه‌ای که به آن‌ها پاسخ دادند، هدف واضحی نداشتند، لذا اگر مسیر خود را پیدا کرده بودند، ممکن است به حوادث باجافزاری تبدیل شده باشند.

در جای دیگر، 4% از پاسخ‌های X-Ops شامل حوادث نشت داده و 2.6% از آن‌ها شامل انتزاع داده بود که به طور معمول نشانه‌های یک حادثه باج افزاری هستند، اما به عنوان تاکتیک‌هایی توسط عاملین تهدید بدون رمزگذاری داده، در حال استفاده بیشتری هستند. 3.3% شامل توسعه بارگذاران مخرب، 2.6% شامل توسعه پوسته‌های وب و 0.7% شامل توسعه مکانیزم‌های رمزنگاری غیرقانونی بود.

احتمالاً به دلیل این موضوع، تیم X-Ops کاهش زمان اقامت حمله‌کنندگان را در همه حوزه‌ها مشاهده کرد، از 11 روز در سال 2021 به 9 روز در سال 2022 در حوادث باج افزار و از 34 روز به 11 روز در دیگر حوادث در همان بازه زمانی. سازمان‌هایی که دفاعات لایه‌ای با نظارت پایدار پیاده کرده‌اند، نتایج بهتری در خصوص شدت حملات دارند [اما] عارضه بهبود دفاعات، بدین معنی است که دشمنان باید سرعت خود را بالابرند تا حملات خود را به پایان برسانند"

بطورکل، سوفوس توصیه می‌کند که به دلیل وجود گزینه‌های متنوع، تمرکز بر روی یکی از آن‌ها کمک زیادی نمی‌کند. تیم‌های امنیت باید ابزارهای مجاز را محدود کنند، محدود کننده‌های آن‌ها را تعریف کرده و همه استفاده از آن‌ها را کنترل کنند. به عنوان مثال، Cobalt Strike همیشه باید مسدود شود، اما استفاده از TeamViewer درکاملاً کنترل شده می‌تواند با اطمینان صورت پذیرد. به طور مشابه، قطع دسترسی به LOLBins به صورت کامل به درد نمی‌خورد، زیرا برخی از آن‌ها برای عملیات روزانه لازم هستند - تیم‌های امنیت بهتر است با توسعۀ شروعگر برای ابزار شناسایی فعاليت هایي كه درگير آن‌ها هستند، فعالیت‌هایی که با آن‌ها مرتبط هستند را شناسایی کنند.