據勒索軟體談判公司Coveware稱，2023年最後一個季度，支付贖金要求的勒索軟體受害者數量降至29%，創歷史新低。這一趨勢在2021 年中開始顯現，支付率在2019 年初達到85%，之後又降至46%。

根據Coveware 的說法，這種持續下降的原因是多方面的，包括企業做好了更充分的準備，對網路犯罪分子承諾不公佈被盜數據缺乏信任，以及在某些地區支付贖金是非法的法律壓力。

Coveware 發現，即使資料在網路攻擊中被盜，上一季的支付率也僅為26%。

不僅支付贖金軟體的受害者人數減少了，實際支付的贖金金額也減少了。

Coveware 稱，2023 年第四季贖金支付的平均金額為568 705 美元，比上一季下降了33%，而贖金支付的中位數為20 萬美元。

23 年第四季度，受害組織的規模中位數有所下降，扭轉了22 年第二季度開始的趨勢，當時攻擊者預計支付率會下降，因此選擇攻擊規模較大的公司，以獲得更可觀的賠付來彌補差額。

除上述統計數字外，Coveware 的報告還談到了有爭議的贖金支付禁令問題，以及這些禁令會如何影響目標組織和網路犯罪社群。

正如這家網路安全公司所闡述的那樣，儘管禁令在理論上似乎是個好主意，但在實踐中卻遠非如此簡單。

Coveware 認為，如果美國或其他目標明確的國家實施國家禁令，企業很可能不再向當局報告這些事件，而是利用不正當的服務提供者作為中介來解決問題。

該公司預測，如果頒布這樣一部法律，將在一夜之間形成一個龐大的非法市場，在拉近受害者和執法機構之間的距離方面取得的所有進展都將付諸東流。

Coveware 的報告指出：「這些受害者中有相當一部分會快速計算風險（公司嚴重受損與罰款和處罰的風險），然後繼續遊走於非法的服務提供者市場。可以肯定的是，有些公司仍然會舉報，但任何甚至考慮付款或選擇付款的受害者都絕對會保持沉默，因為如果他們舉報，就等於承認犯罪”。

相反，Coveware 建議加倍利用現有的一些機制和舉措，這些機制和舉措使從勒索軟體中獲利變得越來越困難，其中包括：

• 加強贖金支付的報告架構和盡職調查，鼓勵詳細揭露和決策架構。
• 為主動報告和合規提供安全港，同時提出強制報告要求，以促進與執法部門的合作。
• 對不揭露事件的行為處以巨額罰款，同時避免CISO 的個人責任，以保持人才庫的安全。
• 強調與執法部門的長期合作，明確長期報告義務，以便進行有效調查。
• 重點在於採取策略措施，降低支付贖金的吸引力和難度，從而削弱贖金軟體作為一種有利可圖的攻擊手段的可行性。

遺憾的是，進入2024 年，勒索軟體仍然是全球網路安全的一大挑戰，它對現有解決方案的抵禦能力非常強。

儘管如此，所觀察到的贖金支付率下降是一個積極的趨勢，表明打擊這一問題的共同努力正在引導局勢朝著正確的方向發展。