創新和提供新一代網路安全即服務的供應商Sophos,三月發布最新《Sophos 2024 年威脅報告》,詳細說明中小企業 (SMB*) 面臨的網路犯罪活動,以及這些企業所面臨的最大威脅。根據該份報告,在 2023 年 Sophos 針對中小企業的惡意軟體偵測中,近 50% 是鍵盤側錄程式、間諜軟體和竊取程式。攻擊者使用這些軟體來竊取資料和憑證,然後再利用竊取到的資訊進行未經授權的遠端存取、勒索受害者,以及部署勒索軟體等。 在這份報告中,Sophos 還分析了初始存取仲介 (IAB),這是一群專門破解電腦網路的犯罪分子。如報告所示,IAB 正使用暗網來宣傳他們可以破解中小企業網路的能力和服務,或是出售已經破解的中小企業的即時存取權限。
Sophos X-Ops 研究主管Christopher Budd 表示:「對網路犯罪分子而言,『資料』猶如貨幣,而且價值急速成長,尤其來源是中小企業時,因為這些企業在運作時往往只會使用同一項服務或軟體應用程式。例如,假設攻擊者在鎖定的目標網路上放入一個竊取憑證的資料竊取軟體,然後取得了該公司會計軟體的密碼。此後,攻擊者就可以取得目標公司的財務狀況,並有能力將資金轉入自己的帳戶。這一點毫不奇怪,因為單是 2023 年向 Sophos 回報的所有網路攻擊中,超過 90% 和資料或憑證竊取有關,無論手法是透過勒索軟體攻擊、資料勒索、未經授權的遠端存取,還是簡單的資料竊取。」
勒索軟體仍是中小企業最大的網路威脅
雖然鎖定中小企業的勒索軟體攻擊數量穩定了,但它仍是中小企業面臨的最大網路威脅。在 Sophos Incident Response (IR) 處理的中小企業案例中,LockBit 是造成嚴重破壞的首要勒索軟體集團,Akira 和 BlackCat 分別排名第二和第三。此外,報告中研究的中小企業,還須面對一些持續存在和較冷門的勒索軟體攻擊,如 BitLocker 和 Crytox。
根據報告,勒索軟體營運者持續改變著勒索軟體的策略,包括利用遠端加密和鎖定託管服務提供商 (MSP) 進行攻擊。在 2022 年和 2023 年間,使用遠端加密的勒索軟體的攻擊量增加了 62%;這是指攻擊者使用受害者網路上未受管理的裝置來加密網路上其他系統的檔案。此外,過去一年在 Sophos 託管式偵測和回應 (MDR) 團隊處理的案例中,發生了五起小型企業因 MSP 的遠端監控和管理 (RMM) 軟體出現漏洞而遭受攻擊的情形。
攻擊者強化了社交工程和商業電子郵件詐騙 (BEC) 攻擊
根據 Sophos 這份報告,商業電子郵件詐騙 (BEC) 緊接在勒索軟體之後,是 Sophos IR 在 2023 年處理量第二高的攻擊。這些商業電子郵件詐騙攻擊和其他社交工程手法變得越來越複雜。攻擊者不再只是傳送夾帶惡意附件的郵件,而是可能會透過傳送一系列對話郵件或甚至打電話來與目標互動。為了避免被傳統的垃圾郵件防護工具偵測出來,攻擊者會嘗試使用新的格式來傳播惡意內容,包括嵌入包含惡意程式碼的圖片,或是以 OneNote 或壓縮檔的格式來傳送惡意附件。如在 Sophos 調查的一起案例中,攻擊者傳送了一份 PDF 檔,其中有一張模糊不清且無法閱讀的發票縮圖,而下載按鈕的連結則是連往一個惡意網站。
*中小企業 (SMB) 指的是員工人數為 500 人或以下的組織。
進一步閱讀《2024 年 Sophos 威脅報告:鎖定中小企業的網路犯罪 》。