Sophos

Sophos 是以創新安全解決方案對抗網路攻擊的全球領導者，今天發布最新暗網報告《加壓：勒索軟體集團的施壓策略》，詳細說明網路犯罪分子如何將竊來的資料武器化，以增加拒付贖款者的壓力。其手法包括公開被攻擊的執行長和企業主的聯絡方式或是家庭成員的個人資訊，以及威脅將被竊資料中發現的任何非法商業行為通報給當局。

在這份報告中，Sophos X-Ops 分享了在暗網上發現的貼文，顯示勒索軟體集團是如何稱那些被勒索的企業是「不負責任和疏忽的」，並在某些情況下，鼓勵那些個人資訊被竊的受害者對其僱主提起訴訟。」。

Sophos 威脅研究總監 Christopher Budd 表示：「2023年12月，在 MGM 賭場遭受攻擊後，Sophos 開始注意到勒索軟體集團將媒體變成一種工具，不僅用於增加對受害者的壓力，還能帶風向並轉移責任。我們甚至看到這些集團挑出他們認為應為勒索軟體攻擊負責的商業領袖。在我們發現的一篇貼文中，攻擊者發布了一張被冠上惡魔角的企業主照片並附上其社會安全號碼。在另一篇貼文中，攻擊者鼓勵員工向公司『索賠』。在其他討論串中，攻擊者還威脅要將資料外洩的情形告知受害企業的客戶、合作夥伴和競爭對手。這些動作的目的都是將責任集中到受害者，增加企業支付贖金的壓力，並加大攻擊可能造成的聲譽損害。」

Sophos X-Ops 還發現多篇由勒索軟體攻擊者發布的貼文，詳細說明他們計劃在被竊資料中找出可用作籌碼的資訊，以便對付不支付贖金的企業。例如，在一篇貼文中，WereWolves 勒索軟體行為者提到，任何被竊資料都將進行「刑事法律評估、商業評估以及競爭對手的內部資訊評估」。另一個例子中，Monti 勒索軟體集團提到，它發現目標公司的某位員工上網搜尋兒童性虐待的照片和影片，於是威脅如果公司不支付贖金，就會將此資訊告知警方。

這些貼文反映出一個更普遍的趨勢，即犯罪分子試圖利用與員工、客戶或病人相關的敏感資料來勒索公司，包括心理健康記錄、兒童醫療記錄、「患者性向問題」以及「患者的裸露照片」。在一起勒索軟體案件中，Qiulong 勒索軟體集團公布了一位執行長女兒的個人資料，以及她的 Instagram 帳號。Sophos 威脅研究總監 Christopher Budd 表示：「勒索軟體集團在如何以及使用什麼手段來當成武器方面變得越來越具侵略性和大膽。對企業來說，壓力更大的是，這些集團不僅會竊取資料並威脅外洩，還積極分析這些資料，以最大化損害並創造新的勒索機會。這意味著，組織不僅要擔心企業間諜活動和商業機密的損失或員工的非法行為，還要注意這些問題與網路攻擊之間的交互影響。」

請瀏覽 Sophos.com 閱讀完整報告《加壓：勒索軟體集團的施壓策略》。

以創新安全解決方案對抗網路攻擊的全球服務廠商 Sophos，六月底發布《2024 年網路保險與網路防禦：來自 IT 和網路安全領導者的經驗》調查報告。根據這份報告，97% 擁有網路保險政策的受訪者表示自身改進了防禦措施，以協助獲得保險的保障，其中 76% 宣稱這樣做能幫助他們符合投保資格，67% 表示保費可以更為便宜，30% 則說他們能獲得更優惠的保單條款。
調查還顯示，網路攻擊的復原成本超過了保險的保障。只有 1% 申請理賠的受訪者表示保險公司賠付了事件處理過程的全部成本。保單無法全額支付成本的最常見原因，是帳單總額超過了保單金額。根據《2024 年勒索軟體現況調查》，勒索軟體事件後的復原成本在過去一年內增加了 50%，平均達到 273 萬美元。

Sophos 全球現場技術總監 Chester Wisniewski 表示：「《Sophos 主動攻擊者報告》多次顯示，企業遭遇的許多網路事件，均因未能實施基本的網路安全最佳作法所導致，如及時安裝修補程式。舉例而言，在我們最近的報告中，遭竊的憑證是攻擊的主要根本原因，然而 43% 的公司尚未啟用多因素驗證。

「76% 的公司為了符合投保資格而投資網路防禦措施，這個事實表明為了獲得保險保障，企業被迫必須採取一些基本的安全措施。而這確實有用，並對公司整體產生了更多正面的影響。 不過，雖然網路保險對公司有利，但它只是有效風險緩解策略的一部分。公司仍然需要努力強化自身的防禦。網路攻擊可能會嚴重影響公司的營運和聲譽，而取得網路保險並不能改變這一點。」

受訪的 5,000 名 IT 和網路安全領導者中，99% 為了保險而改進防禦措施的公司表示，他們的投資除了能獲得保險的保障，還獲得了更廣泛的安全效益，包括提升保護、釋放 IT 資源，以及減少警示。

Wisniewski 表示：「在網路防禦上的投資似乎能造成連鎖效應。除了可以節省企業的保險費用，省下來的資金亦可轉投入其他防禦措施，進而更廣泛地提升公司的安全狀態。隨著網路保險普及，我們希望企業的安全性能持續提升。網路保險並不會讓勒索軟體攻擊消失，但它很可能成為解決方案的一部分。」

《2024 年網路保險與網路防禦：來自 IT 和網路安全領導者的經驗》報告的數據來自一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

Sophos 是以創新安全解決方案對抗網路攻擊的全球領導者，發布年度《2024 年勒索軟體現況》調查報告，報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。
《2024 年勒索軟體現況》的報告發現過去一年平均支付的贖金暴增了五倍。報告發現支付贖金的企業平均支付高達 200 萬美元，較 2023 年的 40 萬美元大幅增加。但贖金僅是一部分成本。除了贖金外，復原成本的平均值達到 273 萬美元，比 Sophos 《2023 年報告》中的 182 萬美元增加了近百萬美元。

儘管贖金不斷攀升，今年的調查顯示勒索軟體攻擊率略為下降，約 59% 的企業受到攻擊，而 2023 年時則為 66%。雖然營收較高的企業受到勒索軟體攻擊的可能性較高，但即使是營收不到 1,000 萬美元的最小型企業也經常成為目標，過去一年中有將近一半 (47%) 遭受勒索軟體攻擊。

《2024 年報告》還發現，63% 的案件索求贖金為 100 萬美元或更高，其中 30% 超過500 萬美元，這表明勒索軟體營運者想要牟取暴利。不幸的是，不只營收額最高的企業被索取的贖金增加，將近一半 (46%) 營收不到 5,000 萬美元的企業，在過去一年被索取的贖金高達七位數。

Sophos 現場技術長 John Shier 表示：「我們不應該讓攻擊率稍微下降就產生自滿。勒索軟體攻擊仍然是當今最主要的威脅，並是網路犯罪經濟的推手。」

連續二年來，被利用的漏洞是攻擊最常見的根本原因，影響了 32% 的企業。其次是遭竊憑證 (29%) 和惡意電子郵件 (23%)。這與 Sophos 最近《主動攻擊者報告》中在事件回應現場所發現的事實一致。

受害者回報指出，攻擊始於漏洞利用的攻擊對企業造成的影響最為嚴重，因其備份被破壞 (75%)、資料被加密 (67%) 和支付贖金 (71%) 的比例都高於攻擊始於遭竊憑證的情況。受調查的企業在財務和營運方面遭受的影響也更大，平均復原成本高達 358 萬美元，而攻擊始於遭竊憑證時為 258 萬美元。受害企業需要超過一個月才能復原的比例也更高。

報告中其他值得注意的發現包括：

• 在支付贖款的企業中，不到四分之一 (24%) 支付了對方原本要求的金額，其他 44% 回報支付的贖金低於對方要求
• 平均支付金額為最初贖金要求的 94%
• 在超過五分之四 (82%) 的案例中，贖金來自多個來源整體而言，總贖金中的 40% 來自企業自身，23% 來自保險業者
• 過去一年受到勒索軟體攻擊的企業中，有 94% 表示網路犯罪分子試圖破壞他們的備份，而在州立和地方政府中則高達 99%在 57% 的案例中，備份被破壞了
• 在 32% 的資料遭加密事件中，也發生資料被竊取的情形，相較去年的 30% 稍有增加。這將增加攻擊者向受害者進行勒索的能力

Shier 表示：「風險管理是我們作為防禦者的重中之重。勒索軟體攻擊最常見的兩個根本原因是被利用的漏洞和遭竊的憑證，雖然可以預防，但太多企業仍然深受其擾。企業需要全面評估他們環境中這些根本原因的暴露程度，並立即解決這些問題。即使環境中的防禦資源不足，企業仍需要盡可能讓攻擊者無法得手。只有提高攻擊者入侵網路所需的門檻，企業才能有效地利用其防禦的預算。」

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

在 Sophos.com 上閱讀《2024 年勒索軟體現況》報告，了解全球調查結果和各行業的數據。

創新和提供新一代網路安全即服務的供應商Sophos，三月發布最新《Sophos 2024 年威脅報告》，詳細說明中小企業 (SMB*) 面臨的網路犯罪活動，以及這些企業所面臨的最大威脅。根據該份報告，在 2023 年 Sophos 針對中小企業的惡意軟體偵測中，近 50% 是鍵盤側錄程式、間諜軟體和竊取程式。攻擊者使用這些軟體來竊取資料和憑證，然後再利用竊取到的資訊進行未經授權的遠端存取、勒索受害者，以及部署勒索軟體等。 在這份報告中，Sophos 還分析了初始存取仲介 (IAB)，這是一群專門破解電腦網路的犯罪分子。如報告所示，IAB 正使用暗網來宣傳他們可以破解中小企業網路的能力和服務，或是出售已經破解的中小企業的即時存取權限。

Sophos X-Ops 研究主管Christopher Budd 表示：「對網路犯罪分子而言，『資料』猶如貨幣，而且價值急速成長，尤其來源是中小企業時，因為這些企業在運作時往往只會使用同一項服務或軟體應用程式。例如，假設攻擊者在鎖定的目標網路上放入一個竊取憑證的資料竊取軟體，然後取得了該公司會計軟體的密碼。此後，攻擊者就可以取得目標公司的財務狀況，並有能力將資金轉入自己的帳戶。這一點毫不奇怪，因為單是 2023 年向 Sophos 回報的所有網路攻擊中，超過 90% 和資料或憑證竊取有關，無論手法是透過勒索軟體攻擊、資料勒索、未經授權的遠端存取，還是簡單的資料竊取。」

勒索軟體仍是中小企業最大的網路威脅

雖然鎖定中小企業的勒索軟體攻擊數量穩定了，但它仍是中小企業面臨的最大網路威脅。在 Sophos Incident Response (IR) 處理的中小企業案例中，LockBit 是造成嚴重破壞的首要勒索軟體集團，Akira 和 BlackCat 分別排名第二和第三。此外，報告中研究的中小企業，還須面對一些持續存在和較冷門的勒索軟體攻擊，如 BitLocker 和 Crytox。

根據報告，勒索軟體營運者持續改變著勒索軟體的策略，包括利用遠端加密和鎖定託管服務提供商 (MSP) 進行攻擊。在 2022 年和 2023 年間，使用遠端加密的勒索軟體的攻擊量增加了 62%；這是指攻擊者使用受害者網路上未受管理的裝置來加密網路上其他系統的檔案。此外，過去一年在 Sophos 託管式偵測和回應 (MDR) 團隊處理的案例中，發生了五起小型企業因 MSP 的遠端監控和管理 (RMM) 軟體出現漏洞而遭受攻擊的情形。

攻擊者強化了社交工程和商業電子郵件詐騙 (BEC) 攻擊

根據 Sophos 這份報告，商業電子郵件詐騙 (BEC) 緊接在勒索軟體之後，是 Sophos IR 在 2023 年處理量第二高的攻擊。這些商業電子郵件詐騙攻擊和其他社交工程手法變得越來越複雜。攻擊者不再只是傳送夾帶惡意附件的郵件，而是可能會透過傳送一系列對話郵件或甚至打電話來與目標互動。為了避免被傳統的垃圾郵件防護工具偵測出來，攻擊者會嘗試使用新的格式來傳播惡意內容，包括嵌入包含惡意程式碼的圖片，或是以 OneNote 或壓縮檔的格式來傳送惡意附件。如在 Sophos 調查的一起案例中，攻擊者傳送了一份 PDF 檔，其中有一張模糊不清且無法閱讀的發票縮圖，而下載按鈕的連結則是連往一個惡意網站。

*中小企業 (SMB) 指的是員工人數為 500 人或以下的組織。

進一步閱讀《2024 年 Sophos 威脅報告：鎖定中小企業的網路犯罪 》。