據網路安全公司 Huntress 發布的 2025 年威脅報告顯示, 勒索軟體團夥在首次入侵網路後平均僅需 17 小時即可加密系統 ,而 Akira 和 RansomHub等一些團體僅需 4-6 小時即可完成操作,這跟以往需要留駐數週才能完成的情況已大不相同了。
靠傳統監控回應已追不上駭客的速度,主動預防偵測防堵已知及未知威脅進入企業內部網路將會是最佳策略。
根據資安人網站最近報告中也顯示,RaaS持續蓬勃發展,攻擊愈來愈烈
- 駭客去年在資料外洩網站上公布了近6,000起資安事件,讓2024年成為勒索軟體攻擊的新高峰;
- 2024 年活躍的勒索軟體集團達 75 個以上,相較前一年的 43 個大幅增加;
- 根據研究機構對IT單位進行的大規模調查,發現超過半數的組織遭受成功攻擊,其中大多數受害企業被迫暫停部分營運,造成重大營收損失;
- 此外,資安事件發生頻率正在加速。2024 年的勒索軟體攻擊比前一年增加約 15%,而成功的攻擊事件從 2024 年 12 月的每天平均 15 起,在 2025 年 1 月更上升至每天 18 起。
2025年才剛過1個多月
公開資訊觀測站就已多家上市櫃公司公告遭受駭客攻擊,相信一些未公開發行公司也很難免於駭客襲擾……;我們今就針對近一個多月來所遇到的案例進行分享說明,讓各位讀者更進一步瞭解駭客的新手法……
【案例一】假可亂真的稽核郵件及PDF檔
想想,當你收到一封財政部的稽核郵件,你會點進去看嗎? 若你不會,你公司的其它同仁也都不會嗎? 只要有一個端點設備點進去,就可能發生資安破口了。這是一封帶有惡意程式的郵件,信中夾了一個PDF說明檔,是不是假可亂真呀!(現今駭客組織都已善用AI工具來生成幾近完美的郵件)
<現況>
客戶IT收到此郵件,用公司現有的防毒軟體及上傳至VirusTotal.com (VirusTotal.com是一個免費針對病毒、蠕蟲、木馬、各種惡意軟體、可疑檔案和網址進行快速檢測的網站,最初由Hispasec維護),檢測皆未發現有威脅,後來IT請我們Deep Instinct 工程師進行預防偵測,結果是確定PDF本身沒有問題,但在”點選下載查詢”的連結是惡意程式,因為Deep Instinct採深度學習AI技術,本身具備已知及未知威脅攻擊之預防防禦與自學能力。
<問題及風險解析>
這封郵件就是目前企業最難防範的未知威脅,過往企業面對已知威脅,只要定時更新防毒軟體特徵碼即時比對大致就可以阻攔了,但現今愈來愈多的是未知威脅攻擊,企業資安問題就愈來愈嚴重了;假設,企業內部同仁一不留意,手刀點擊,這時惡意程式可能就已植入企業內部,惡意程式初步開始監聽、竊取帳密或提權作業,若是公司內部有建置EDR/MDR解決方案,這時侯這個惡意程式的活動有可能被監控、偵測、蒐集並加以判定及回應(你只剩下4-17小時的黃金監控時間),進而成功防範或在發動攻擊初期就予以阻斷,這就是我們指出EDR/MDR是一以執行後為中心的解決方案概念。
為什麼有許多企業建置了EDR/MDR還是聽聞被駭客加密勒索呢?
這可以從以下幾個面向進行討論
- 回應速度過慢: 可能駭客攻擊速度比檢測回應速度更快,但是風險可能還是有機會不持續漫延;
- 駭客繞道技術: 目前大多EDR產品過渡依賴Windows ETW (Event Tracing for Windows,是Windows 提供的一種事件追蹤的方式),而現今主流的駭客組織大都已具備繞過EDR的技術,所以還是很可能發生讓駭客如入無人之地的窘況;
- 從其它端點破口攻入: 駭客從其它防護力弱的端點攻克後,取得管理者權限,往橫向擴散,由端點底層攻入進行破壞。
【案例二】無所不用其極的駭客勒索行逕
近日馬階醫院遭受駭受組織攻擊,駭客組織揚言若未正視他們要求,將持續發動第二波攻擊
<截取自iThome網站>
駭客組織為了達到其勒索贖金的目的,持續不斷的想方設法的使用不同的勒索手法,從癱瘓系統、資料加密、機敏資料竊取及公開等手法來達到勒索的目的。
最近從一些客戶案例中可以發現幾個趨勢可供探討:
- 資料加密技術及速度提升: RaaS提供了更強的加密工具,同時在駭客又在其加密私鑰中應用RSA-4096來保護加密金鑰,讓客戶尋求解密措施變的更困難。據網路安全公司 Huntress 發布的 2025 年威脅報告顯示, 勒索軟體團夥在首次入侵網路後平均僅需 17 小時即可加密系統 ,而 Akira 和 RansomHub等一些團體僅需 4-6 小時即可完成操作,這跟以往需要留駐數週才能完成的情況已大不相同了。
- 資料加密範圍擴大: 以往駭客組織著重於伺服器或是儲存設備資料加密為主,近期發現有主機及端點全部被加密的個案發生,試想: 若是全公司主機及端點都被加密了,近百台或上千台的設備要進行解密,花費成本可能早已大於駭客所開的贖金了,更遑論公司營運停擺所造成的巨大損失與商譽損害。
- 應用合法執行非法: 我們從Halcyon資安研究團隊公開個案中發現,「攻擊者無需挖掘AWS系統本身的漏洞,而是事先設法取得其中一個客戶的AWS帳密資料,就有機會得逞。截至目前為止,他們發現只能透過付錢取得解密金鑰,後續才能復原資料,沒有其他回復資料的方法。」,相信這種囧況在有使用過加密軟體的企業身上應該也遇過,就像是使用者自己將資料加密後,卻又忘記密碼,但這回密碼卻是在駭客手上的情節。
結論:
預防與治療一樣重要,但預防優於治療,其實駭客攻擊防不勝防,市上也沒有一個100%的資安產品,多做一分防護就少一分風險,從上述趨勢可知,駭客為了達到勒索的目的,無所不用其極的改採全面癱瘓企業營運的模式,希望以對企業影響最大的情況下,迫使企業就範,假設企業能採用主動預防為優先的防禦思維,將惡意軟體阻擋於外,至少可以將資安風險控制在最小的範圍之內,總之,駭客的攻擊防不勝防,而員工的使用行為與資安意識也常常讓資訊單位及企業主束手無策,唯有運用資訊工具才是一種最好的禦敵致勝之道。
QISO錡碩資訊
聯繫窗口 : 謝增龍(Felix)
0936-115496