全球網絡安全狀況如何？

在過去的一年里，全球針對組織的攻擊 總體顯著增加，每個組織每周平均遭受 攻擊的次數達到 1673 次。這比 2023 年 高出 44%。

在 2024 年，信息竊取軟件和多用途惡意軟件的攻擊嘗試顯著 增加。多用途惡意軟件（RAT、僵尸網絡和銀行木馬）經常用 于攻擊的初始階段，以投放其它工具并擴大攻擊者對被攻破系 統的控制。因此，它是最常見的惡意軟件類型也就不足為奇 了，2024 年有 39% 的組織受其影響。與 2023 年只有 31% 的 組織面臨類似攻擊嘗試相比，這一數字與 2023 年相比，同比 增加了 25%。

信息竊取軟件的感染嘗試也顯著增加，受影響的組織比例從 2023 年的 12% 增加到 2024 年的 19%，同比增加了 58%。信 息竊取軟件攻擊的增加，通常是在大規模活動中分發，而不是 針對特定受害者，這反映了信息竊取軟件有一個成熟的生態系 統，以及對包含憑證、會話 Cookie 和其它個人信息的被盜信 息竊取軟件日志的需求不斷增加。多種惡意活動都會使用信息 竊取軟件，從通過被盜的金融憑證直接進行欺詐，到利用被盜 的會話 Cookie 入侵企業網絡等。關于信息竊取軟件生態系統 的最新發展情況和更多細節在“趨勢”章節中提供，并且在本 章的后面將提供專門的數據部分。 在系統所有者不知情的情況下安裝的加密貨幣挖礦攻擊顯著下 降，受影響的組織比例從 9% 降至僅 2%。我們所見到的大多 數加密貨幣挖礦程序都以門羅幣為目標，而今年門羅幣的挖礦 難度（挖掘門羅幣所需的計算工作量）幾乎翻了一番，從 1 月 份的平均 260G 上升到 12 月份的近 450G。這極大地降低了其 盈利能力。關于加密貨幣挖礦程序的更多詳細信息將在專門的 部分中介紹。

在過去的一年里，全球針對組織的攻擊總數顯著增加，每個組 織每周遭受的平均攻擊次數達到 1673 次。這比 2023 年高出 44%。圖 3 說明了按行業劃分的每個組織每周平均遭受的攻擊 次數。2024 年，大多數行業每周遭受的攻擊次數都有顯著增 加。教育部門遭受的攻擊量最高，同比 (YoY) 增長 75%，每周 遭受的平均攻擊次數超過 3574 次。教育機構成為專門針對個 人信息收集的目標。這種持續上升的攻擊率影響到大學、中小 學以及教育部門和服務機構。 醫療保健部門每周遭受的平均攻擊次數也增加了 47%。網絡犯 罪分子愈發放棄了他們之前自我約束的不針對醫療保健服務行 業進行攻擊的禁令。醫療部門特別容易受到長期服務中斷的影 響（如前面的“勒索軟件”部分所述），并且其所持有的患者 數據具有高度敏感性。

技術供應鏈領域，包括軟件、硬件、半導體公司，遭受的網絡 攻擊的大幅增加。值得注意的是，硬件和半導體行業的平均每 周攻擊次數增長最為顯著，高達 179%，總數現已超過 1400 次。這一激增可歸因于全球對硬件需求的不斷增長以及對人工 智能技術的高度關注。作為現代基礎設施和創新的關鍵組成部 分，這些行業已成為網絡犯罪分子為獲取經濟利益、進行間諜 活動或造成破壞而尋求利用供應鏈漏洞的主要目標。

基于電子郵件的攻擊仍然是主要的初始攻擊向量，68% 的攻擊 源自電子郵件。 源自電子郵件。盡管網絡傳遞的攻擊顯著增加 (32%)，但這種 情況仍在持續，這主要歸因于基于受感染網站的惡意軟件分發 框架（如 FakeUpdates）依然占據著主導地位。 Office 文檔中惡意宏攻擊的減少導致了策略的轉變：大多數惡意電子郵件現在包含 HTML 文件或 PDF 文檔。HTML 文件的惡意 使用包括網絡釣魚和憑證竊取，通常通過復制合法的登錄頁面來 實現。其它用例包括更高級的技術，如 HTML 走私、重定向到惡 意網站、瀏覽器漏洞利用和其它方法。值得注意的是，61% 通過 電子郵件傳遞的惡意文件包含 HTML 附件。

惡意 PDF 文件是另一種常見的攻擊向量，在 22% 的惡意電子 郵件中都能發現。這些通常涉及在文檔中嵌入 JavaScript 代碼 或嵌入式鏈接，這既可以觸發惡意軟件下載，也可以將受害者 重定向到惡意網站。在某些情況下，PDF 文件會利用過時的 PDF 閱讀器軟件中的漏洞在受害者的機器上執行代碼。 惡意檔案文件在網絡攻擊活動中也已成為一種常見的攻擊向量， 比如ZIP、RAR、7z 等格式都經常被利用。在這些格式中，ZIP 文件最為常見，占惡意檔案文件的 31%，其次是 RAR 文件占 22%，7z 文件占 8%。檔案文件對于躲避檢測特別有效，因為它們能壓縮惡意有效載荷并混淆其內容，使安全解 決方案更難對其進行分析。

當攻擊者使用有密碼保護的檔案時，安全機制面臨 著一個顯著的挑戰。如果沒有密碼，就無法掃描這 些檔案中的惡意內容，而密碼通常包含在電子郵件 的正文中或單獨共享。通過對檔案內容進行加密， 威脅行為者試圖繞過自動防御。一旦解壓，這些檔 案可以直接將惡意軟件傳送到受害者的系統中。攻 擊者經常使用多階段傳遞，初始的檔案文件包含看 似無害的文檔或腳本，當執行時，會從遠程服務器 下載實際的惡意有效載荷。檔案文件使用的增加突 顯了網絡犯罪分子不斷演變的策略，以利用電子郵 件安全中的漏洞，并利用用戶的信任來成功實施攻 擊。

惡意 DLL 文件（動態鏈接庫），通常在壓縮檔案 中傳遞，常用于 DLL 側載或 DLL 劫持技術。在這 些情況下，攻擊者通過將惡意 DLL 文件放置在與 受信任的可執行文件相同的目錄中來利用易受攻擊 的合法應用程序。當應用程序運行時，它會加載惡 意 DLL 而不是預期的 DLL，從而允許攻擊者執行 任意代碼。這種技術對于躲避檢測特別有效，因為 合法應用程序充當了惡意有效載荷和 DLL 的受信 任載體。 網絡傳遞攻擊通常依靠隱蔽式下載、通過被入侵的 網站或欺騙性廣告來傳遞這些文件，這也突出了網 絡過濾、安全軟件定期更新和提高用戶意識以減少 此類威脅的重要性。網絡傳遞的惡意文件呈上升趨 勢，利用 EXE、DLL 和 PDF 等文件格式來分發惡 意軟件。其中，EXE 文件最為普遍，占網絡傳遞惡 意文件的 54%。這些可執行文件經常偽裝成合法軟 件或更新，誘使用戶下載并運行它們。DLL 文件占 這些攻擊的 11%，而 PDF 文件占 8%。