Sophos 发布《2025勒索软件状况报告》：赎金腰斩 加密率六年新低

Sophos 于近日发布《2025勒索软件状况报告》，报告基于第三方专家执行的独立调查，覆盖17个国家、3400名来自规模在100-5000名员工企业的IT及网络安全领导者，并且所有受访者均在过去12个月内遭遇过勒索软件攻击。以下是报告的部分核心发现：
 

连续三年，漏洞利用仍是首要技术攻击根源，占事件32%。
 

操作因素中，缺乏专业知识占40.2%、未知安全漏洞占40.1%，人员/能力不足占39.4%为主要致因。
 

数据加密率降至六年最低，全球为50%，而2024年为70%。
 

美国赎金支付率达49%，比去年的56%略有下降。
 

……

 

一．受害企业分析
 

1.攻击的技术根源
 

漏洞利用连续第三年居首，占32%，仍是主要技术根源。凭证泄露降至23%（2024年29%），保持第二大攻击媒介。邮件相关攻击合计占比37%（恶意邮件19%+网络钓鱼18%），其中网络钓鱼同比增幅显著（2024年11%）。

 

 

2.基于企业规模的攻击媒介的差异
 

在100-250人企业，凭证泄露是最常见的根本原因，占攻击的30%。
在501-1000人企业，40%的攻击都是从漏洞开始的。
在1001-3000人企业，近四分之一（23%）的攻击是从网络钓鱼邮件开始的。

 

3.事故发生的根本原因
 

今年的报告首次探讨了导致企业遭受攻击的因素。调查结果显示，受害者通常面临着与受访者合作的多重业务挑战。平均有2.7个因素导致他们成为勒索软件攻击的受害者。总的来说，不存在单一的突出来源，根本原因非常均匀地分布在防护问题、资源问题和安全漏洞上。

 

40.2%的受访者表示，缺乏专业知识，即没有及时发现和阻止攻击的技能或知识是最常见的运营原因。
 

紧随其后的是企业没有意识到的安全漏洞，这是40.1%的影响因素。
 

排在第三位的是人员/能力不足，即在攻击发生时没有足够数量的网络安全专家监控他们的系统，这导致了39.4%的攻击。

 

 

令人鼓舞的是，在我们研究的六年里，25年数据加密的报告率是最低的，只有50%导致数据加密的攻击。袭击的比例已经明显下降，从2024年调查的70%下降到2025年的50%。

 

攻击者不仅会加密数据，还会窃取数据。调查显示：
 

拥有3001-5000名员工的企业遭受数据加密攻击的比例最高（65%），表明较大企业在攻击发生前检测和阻止攻击、或在加密后阻止和回滚恶意加密方面的能力可能较弱。
 

在数据失窃方面，整体上14%的勒索软件受害者和28%的加密数据受害者经历过数据被盗。
 

按公司规模细分，小型企业数据被盗的可能性比大型企业低近40%。具体在美国市场，在有数据加密的受害企业中，100-500人的企业有22%遭遇数据被盗，而501-5000人企业这一比例则达到30%。这种差异一方面可能源于较小的企业在防止数据被盗方面能力相对较强，另一方面也可能是由于攻击者更倾向于针对大型企业窃取数据，或小型企业可能无法识别数据已被窃取。

 

加密数据恢复
 

根据调查数据，97%的加密数据企业最终成功恢复了数据。在恢复方式上，54%的受访者依赖备份（该比例连续第三年下降，且当前恢复速度为六年来最低），而支付赎金后取回数据的企业占49%（虽较去年的56%略有下滑，仍是过去六年第二高的支付率）。此外，29%的加密数据受害者表示通过"其他手段"（可能包括利用已公开的解密密钥）实现了数据恢复。

 

 

1.赎金的要求
 

基于最新数据，勒索赎金要求呈现以下趋势：
 

平均赎金中位数较去年下降34%，从200万美元降至132万美元。这一下降主要源于高额赎金比例缩减——500万美元及以上的要求占比从30%降至24%。但需注意，仍有57%的赎金要求超过100万美元。
 

同时，赎金金额与企业收入呈明显正相关，反映出攻击者根据支付能力定制勒索策略。年收入1000万至5000万美元的企业赎金中位数约为11万美元，而年收入超50亿美元的企业则高达550万美元。

 

2.实际支付与初始需求
 

支付赎金的826个企业分享了最初的要求和实际的赎金付款，显示他们平均支付了最初赎金要求的85%。总的来说，53%的人支付的赎金低于最初的要价，18%的人支付的薪水高于最初的要价，29%的人支付的薪水符合最初的要求。
 

年收入在50亿美元或以上的大型企业的实际支付额（200万美元）下降幅度最大，在排除异常值的情况下，其实际支付额仅为初始需求（550万美元）的36%。
 

相反，年收入在1000万至5000万美元之间的企业报告的降幅最小，其支付的中位数为需求中位数的97%。

 

 

1.恢复成本
 

勒索软件攻击的平均恢复成本显著下降，较去年降低44%，从2024年的273万美元降至153万美元，亦低于2023年水平。恢复成本随企业规模扩大呈递增趋势，但在1000至5000名员工区间趋于稳定：100-250人规模企业平均成本为63.8万美元，而1000-5000人规模企业则达183万美元。

 

2.恢复时间
 

数据显示，企业从攻击中恢复的速度越来越快，一天内恢复达到16%，高于2024年的7%和2023年的8%。超过一半（53%）在一周内恢复，比2024年报告的35%大幅增加。总体而言，几乎所有受害者（97%）在袭击发生三个月后完全康复。
 

不出意外的是，加密数据的企业通常比那些能够阻止加密的企业恢复得更慢。9%的加密数据在一天内完全恢复，相比之下，加密数据失败的企业中，有24%能在一天内完全恢复。

 

 

调查清楚地表明，在勒索软件攻击中对数据进行加密会对IT/网络安全团队产生重大影响，所有受访者都表示他们的团队在某种程度上受到了影响。
 

41%的IT/网络安全团队表示，他们对未来的攻击感到越来越焦虑或压力。
34%的人表示，团队因未能及时阻止攻击而感到内疚。
40%的人表示来自高层领导的压力增加，但31%的人表示得到了认可。
31%的团队经历过员工因与袭击相关的压力或心理健康问题而缺勤。
在四分之一的案例中，因为攻击导致团队的领导被替换。

 

 

勒索软件威胁持续存在且不断演变，企业必须通过以下四个关键领域强化防御，持续聚焦这些领域方能有效降低勒索软件对业务与人员的影响：
 

预防是首要目标，通过消除技术和操作漏洞使攻击者无从入侵；
 

保护需夯实基础安全，重点强化端点（含服务器）防御，部署专用反勒索软件方案，以拦截和回滚恶意加密；
 

检测与响应强调全天候威胁监控，尽早阻断攻击以改善结果，资源不足时可借助可信的托管检测与响应（MDR）服务；
 

制定并熟练执行事件响应计划，同时维护高质量备份并定期演练恢复流程，确保遭遇攻击时能加速恢复。

 

完整报告下载：
https://assets.sophos.com/X24WTUEQ/at/9brgj5n44hqvgsp5f5bqcps/sophos-state-of-ransomware-2025.pdf