گزارش وضعیت باجافزارها در ۲۰۲۶؛ پرداخت باج کاهش یافت، رمزگذاری دادهها افزایش پیدا کرد
گزارش جدید Sophos از وضعیت باجافزارها در سال ۲۰۲۶ نشان میدهد که اگرچه پرداخت باج نسبت به سالهای گذشته کاهش یافته، اما سهم حملاتی که به رمزگذاری دادهها منجر میشوند افزایش پیدا کرده و مهاجمان بیش از گذشته از ایمیل و سرقت هویت برای نفوذ استفاده میکنند.
هزینه حملات همچنان بالاست
گزارش شرکت Sophos از وضعیت باجافزارها در سال ۲۰۲۶ که بر اساس نظرسنجی از ۲۱۵۸ مدیر فناوری اطلاعات و امنیت در ۱۷ کشور تهیه شده، منتشر شده است. یافتههای این نظرسنجی نشان میدهد که برخی شاخصهای مرتبط با فعالیت باجافزارها بهبود یافته، اما همچنان خسارتها بالاست. تا جایی که میانگین مبلغ باج درخواستی مهاجمان معادل ۶۹۸ هزار دلار است که ۶۸ درصد کمتر از دو سال قبل است. استفاده از نسخههای پشتیبان برای بازیابی اطلاعات نیز به ۶۶ درصد موارد رمزگذاریشده رسیده که نسبت به سال قبل ۱۲ واحد درصد افزایش داشته است.
متوسط مبلغ پرداختی باجها نیز ۷۶۹ هزار دلار اعلام شده است. بخش دیگر یافتههای این گزارش نشان میدهد که ۵۱ درصد سازمانهایی که باج پرداخت کردند، موفق به کاهش مبلغ باج شدند و فقط ۳۲ درصد سازمانهای حوزه خردهفروشی باج پرداخت کردند که کمترین میزان در میان صنایع مختلف است.
۵۶ درصد حملات همچنان به رمزگذاری دادهها منجر میشوند
در حالی گزارش شرکت Sophos بیانگر کاهش پرداخت باجهاست، اما این گزارش آمار نگرانکنندهای هم دارد و آن هم افزایش رمزگذاری دادههاست. بر اساس یافتههای گزارش Sophos State of Ransomware، ۵۶ درصد حملات همچنان به رمزگذاری دادهها منجر شدهاند. این در حالی است که این رقم در سال قبل ۵۰ درصد بوده است. همچنین، ۴۸ درصد قربانیانی که دادههایشان رمزگذاری شد، رقمی نزدیک به میانگین چهار سال گذشته باج پرداخت کردند.
تعداد سازمانهای پرداختکننده باج و میانگین هزینه بازیابی هر حمله نیز افزایش یافته است. ۷۲ درصد سازمانهای دولتی محلی و ایالتی باج پرداخت کردهاند که بالاترین نرخ در میان همه بخشهاست. بریتانیا با میانه ۲.۵ میلیون دلار، بالاترین مبلغ باج درخواستی را در میان کشورهای بررسیشده ثبت کرده است. میانگین هزینه بازیابی هر حمله نیز با رشد ۱۱ درصدی نسبت به سال قبل به ۱.۷ میلیون دلار رسیده است.
فیشینگ و ایمیل مخرب، عامل نیمی از حملات باجافزاری
برای اولین بار در چهار سال اخیر، بهرهبرداری از آسیبپذیریها دیگر اصلیترین مسیر ورود مهاجمان نیست، بلکه ایمیل مهمترین عامل نفوذ آنهاست. تا جایی که سهم بهرهبرداری از آسیبپذیری در حملات باجافزاری با ۱۴ واحد درصد کاهش نسبت به سال گذشته به ۱۸ درصد رسیده، اما ایمیلهای مخرب و فیشینگ عامل نیمی از این حملات هستند.
سهم سرقت یا افشای اطلاعات احراز هویت و حملات Brute Force در نفوذ باجافزارها بهترتیب ۲۳ و ۶ درصد است. کارشناسان Sophos با استناد به همین دادهها توصیه میکنند تا سازمانها علاوه بر وصله کردن آسیبپذیریها، سرمایهگذاری بیشتری روی حفاظت پیشرفته از ایمیل، استانداردهای DMARC، DKIM و SPF و آموزش آگاهی امنیتی کاربران انجام دهند.
۷۹ درصد حملات با سوءاستفاده از هویت کاربران آغاز میشوند
۷۹ درصد حملات باجافزاری با سوءاستفاده از هویت کاربران آغاز شدهاند و ۶۷ درصد قربانیان اعلام کردهاند که حمله باجافزاری همان حادثهای بوده که بزرگترین حمله مرتبط با سرقت هویت را برای آنها رقم زده است. این یافته کلیدی گزارش Sophos State of Ransomware است که گزارش Sophos Active Adversary 2026 نیز همین روند را تأیید میکند. این گزارش که بر پایه بررسی ۶۶۱ پرونده واقعی پاسخ به رخداد و خدمات تهیه شده، نشان میدهد ۶۷ درصد علل اصلی حملات به مسائل هویتی مربوط بوده و در ۵۹ درصد موارد احراز هویت چندعاملی در بخشهای حیاتی پیادهسازی نشده بود.
از طرف دیگر، در ۹۷ درصد حملاتی که منشأ آنها سرقت اطلاعات ورود بود، سازمان قربانی به نوعی از MFA استفاده میکرد؛ اما این قابلیت در همه سامانهها فعال نبود. طبق گزارش، بسیاری از سازمانها MFA را برای سرویسهای SaaS فعال کردهاند، اما VPNها، کنسولهای مدیریتی فایروال و برنامههای قدیمی همچنان بدون MFA باقی ماندهاند و همین شکاف امنیتی مسیر نفوذ مهاجمان را فراهم کرده است.
MFA احراز هویت چندعاملی است که در آن صرفاً رمز عبور برای ورود به حساب کاربری کافی نیست و کاربر باید دستکم دو عامل مستقل را برای اثبات هویت خود ارائه کند.
برنامههای اینترنتی و فایروالها؛ اصلیترین مسیر ورود باجافزارها
گزارش وضعیت باجافزارها برای اولین بار در سال ۲۰۲۶ محل شروع این حملات را نیز بررسی کرده است. بر این اساس، نقاط اولیه نفوذ در حملاتی که از طریق بهرهبرداری از آسیبپذیری، سرقت اعتبارنامه یا Brute Force آغاز شدهاند، عمدتاً برنامهها و سامانههای در معرض اینترنت و رایانهها و دستگاههای کاربران با سهم ۳۸ و ۳۰ درصدی هستند. سهم فایروالها، VPNها و دستگاههای اینترنت اشیا بهعنوان نقطه اولیه نفوذ در حملات بهترتیب ۲۱، ۸ و ۳ درصد است.
بر اساس ارزیابی شرکت Sophos از نقاط ورود حملات باجافزاری، نفوذ از طریق فایروالها پیامد مالی بسیار سنگینتری دارد، زیرا مهاجم پس از تصاحب فایروال به بخشهای گستردهای از زیرساخت سازمان دسترسی پیدا میکند. در ۵۹ درصد حملاتی که از آسیبپذیری فایروال آغاز شدهاند، مبلغ باج درخواستی یک میلیون دلار یا بیشتر بوده است؛ در حالی که این رقم در کل حملات ۴۸ درصد است.
تشدید شکاف امنیتی میان سازمانهای بزرگ و کوچک
در مجموع، تحلیل دادههای شرکت Sophos از وضعیت باجافزارها در سال ۲۰۲۶ بیانگر تشدید شکاف بین سازمانهای کوچک و بزرگ در مقابله با باجافزارهاست. به این دلیل که تنها ۳۴ درصد سازمانهای دارای ۱۰۰ تا ۲۵۰ کارمند توانستهاند حمله را پیش از رمزگذاری دادهها یا اخاذی متوقف کنند، اما این موفقیت در سازمانهای دارای ۳۰۰۰ تا ۵۰۰۰ کارمند به ۴۶ درصد رسیده است.
در این شرایط، سازمانهای بزرگ با برخورداری از منابع و توان دفاعی بیشتر، عملکرد بهتری برای مقابله با باجافزارها دارند. در مقابل، سازمانهای کوچک خسارت بیشتری را نسبت به کسبوکارهای بزرگ در برابر حملات باجافزار متحمل میشوند.