全部文章分享

       本文擷取自資安人

外媒報導，思科示警全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 等設備的 VPN 和 SSH 服務遭受大規模的暴力撞庫攻擊。
 
暴力撞庫攻擊是嘗試使用大量的用戶名和密碼來登入帳戶或設備，直到找到正確的組合。一旦獲得正確的憑證，威脅行為者就可以利用它們劫持設備或訪問內部網路。
 
根據思科 Talos 的資訊，這次攻擊使用了一些有效的和通用的員工用戶ID，這些ID與特定的組織相關。
 
研究人員表示，這些攻擊開始於 2024 年 3 月 18 日，所有攻擊都源自 TOR 出口節點，攻擊主使者使用各種匿名工具和代理程式躲避封鎖。
 
思科 Talos 警告，依據目標環境的不同，攻擊成功可能會導致未經授權的網路訪問、帳戶鎖定或拒絕服務等後果。目前觀察到與攻擊相關的流量正隨著時間增加中。
 
用於進行攻擊的服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy 和 Proxy Rack。
 
思科的研究人員表示，以下服務正遭受積極攻擊:

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti 

這此惡意活動沒有特定目標，表示背後的主使者，採取了隨機的攻擊策略。Talos 團隊已在 GitHub 上分享了這一活動的一系列完整的入侵指標(IoC)，包括攻擊者的 IP 地址以供列入黑名單，以及用於暴力攻擊的用戶名和密碼列表。
 
2024 年 3 月下旬，思科曾警告遭受一波 Cisco Secure Firewall 設備上的遠端 VPN (RAVPN) 服務的密碼噴灑攻擊。密碼噴灑攻擊對弱密碼政策更有效，密碼噴灑瞄準許多用戶名使用一小組常用密碼。
 
基於觀察到的攻擊模式和攻擊範圍，研究人員將這些攻擊歸因於一個名為「Brutus」的惡意軟體僵屍網路。但到目前為止尚未確認是否兩起攻擊事件是否有關聯。
 

       本文擷取自資安人

資安專家近期針對 Microsoft Message Queuing (MSMQ) 中介軟體服務中的一個嚴重資安漏洞提出警告，指出 Windows 系統管理者應立即套用修補軟體，修復此漏洞。目前有數十萬台 Windows 系統曝露於該資安風險之下。

MSMQ 於所有 Windows 各版本中均有提供，是一個可讓 App 具備網路通訊能力的選用組件，可以透過 PowerShell 或控制台（Control Panel）來啟用。

資安廠商 Fortinet 和 CheckPoint 旗下的資安專家指出，在 MSMQ 中存在的嚴重漏洞 CVE-2023-21554 可讓駭侵者以特製的 MSMQ 惡意封包，在不需要使用者互動的情形下，輕易進行攻擊，並且遠端執行任意程式碼。

受該漏洞影響的 Windows 版本，為目前市面上全系列的所有版本，包括最新版本的 Windows 11 22H2 與 Windows Server 2022。Microsoft 本身已在日前釋出的 2023 年 4 月分 Patch Tuesday 例行性資安修補包中修復此一漏洞，但根據 Check Point 的估計，目前仍有約 36 萬台 Windows MSMQ 伺服器尚未完成該漏洞的修補作業，因此仍曝露在駭侵攻擊的風險之下。

Microsoft 指出，目前已接獲有駭侵者利用此漏洞發動攻擊的情報，所有 Windows 系統管理者，應正視這個漏洞可能帶來的威脅，且應立即進行修補。

CVE 編號：CVE-2023-21554
影響產品：Windows 各版本作業系統，包括 Windows 11 2022H2 與 Windows Server 2022。
解決方案：建議立即套用 Microsoft 日前釋出的 Patch Tuesday 資安修補包。

       本文擷取自資安人

微軟在2024年4月推出了重大的安全更新，共修復了149個漏洞，其中2個正在被惡意利用。
 
修復的漏洞中，有3項被評為「關鍵」級，142項被評為「重要」級，3項為「中度」，1項為「低度」。除了這149個漏洞外，微軟也於3月發布patch tuesday後另行修補了Edge瀏覽器的21個漏洞。
 
本月資安人員須特別注意兩個漏洞，根據外媒報導，這兩個漏洞已被攻擊者利用：

CVE-2024-26234 (CVSS 6.7分) - 代理驅動程式欺騙漏洞（Proxy Driver Spoofing Vulnerability）
Sophos公司已發現一款惡意程式利用微軟的合法數位簽章來偽裝成正版軟體。該程式包含3proxy後門組件，可監控並攔截受感染系統的網路流量。Sophos 在野外發現了該後門的多個變體，最早可追溯到2023年1月5日。
 
CVE-2024-29988 (CVSS 8.8分)- SmartScreen提示安全繞過漏洞
與CVE-2024-21412和CVE-2023-36025一樣，攻擊者可利用這個漏洞繞過Microsoft Defender SmartScreen的保護，誘使使用者執行惡意檔案。Zero Day Initiative表示已有證據顯示此漏洞正在被野外利用。


其他值得關注的漏洞
另一個重要的漏洞是CVE-2024-29990 (CVSS分數:9.0)，這是一個影響Microsoft Azure Kubernetes Service保密容器的特權提升漏洞，未經身份驗證的攻擊者可利用它來竊取憑證。
 
此次更新還修復了68個遠端程式碼執行、31個權限提升、26個安全繞過以及6個拒絕服務漏洞。值得注意的是，有24個安全繞過漏洞與Windows安全啟動功能有關。
 
分析師表示，雖然這些漏洞尚未在野外被利用，但它們提醒大家，安全啟動機制仍存在問題，未來可能會出現更多相關的惡意活動。
 
Microsoft在這次更新中使用了CWE評估標準，這有助於開發人員了解漏洞的根源原因，從而在軟體開發生命週期中採取更好的措施來預防攻擊。

      本文擷取自資安人

Sophos 宣布與Tenable 建立策略合作夥伴關係，提供全球性的漏洞和受攻擊面管理服務 Sophos Managed Risk。這項新服務擁有專屬的 Sophos 團隊，使用 Tenable 的曝險管理技術並與 Sophos Managed Detection and Response (MDR) 的安全營運專家合作，提供防禦網路攻擊所需的受攻擊面可見性、持續風險監控、漏洞優先處理、調查和主動通知能力。
 
在今日，受攻擊面已超出傳統的本地 IT 邊界，因為企業在運作時經常使用數量未知的外部和連線到網際網路的資產。這些資產未經修補或保護不足，使其容易受到網路攻擊者的攻擊。這一點在今天同時發布的最新《Sophos 主動攻擊者報告》中可以明顯看出。該報告指出企業必須優先考慮三項任務，以減少導致勒索軟體或其他類型攻擊的入侵風險，包括關閉暴露的遠端桌面通訊協定 (RDP) 存取權限、啟用多因素驗證，以及修補易受攻擊的伺服器等，而上述都是 Sophos Incident Response 團隊在 2023 年處理的入侵事件中的主要缺口。Sophos Managed Risk 服務可以評估企業的外部受攻擊面，優先處理最嚴重的曝險，例如開放的 RDP，並提供量身訂製的修補指引，以協助消除盲點，並預防潛在的毀滅性攻擊。
 
Sophos 表示，企業必須嚴格管理曝險，因為如果不加注意，它們將會導致代價更高且耗時的問題，而且往往成為重大資安事件根本原因。我們從 Sophos 全球調查數據中得知，32% 的勒索軟體攻擊起源於未修補的漏洞，而且這些攻擊的修復成本最高。
 
Tenabl表示，儘管最新的零時差漏洞可能會躍上新聞頭條，但企業面對的最大威脅仍然是已知的漏洞，或是已經有修補程式可用的漏洞。解決的方法包括以風險為基礎的優先處理，利用以相關內容驅動的分析方法，在曝險出現之前就先行主動解決。
 
Sophos Managed Risk 特點


外部受攻擊面管理 (EASM)：對連接到網際網路的資產 (如網頁和電子郵件伺服器、Web 應用程式和使用公用 API 的端點) 進行進階的識別和分類
 
持續監控和主動通知高風險的曝險：當在企業連接到網際網路的資產中發現新的重大漏洞時主動通知
 
漏洞優先處理和識別新風險：迅速偵測高風險和零時差漏洞，並立即發出即時通知，以確保能及時識別、調查和按照重要性處理連接到網際網路的資產 

IDC 安全服務研究副總裁 Craig Robinson 表示：「企業改善安全狀態時的最大挑戰之一，就是安排優先處理順序。這種指引可以協助解決這個問題，減輕安全團隊處理漏洞和曝險管理的工作量。Sophos Managed Risk 等解決方案會是一個競爭優勢，使不堪負荷的團隊能夠採取更全面的方法來持續進行監控和威脅管理。」  
 
Sophos Managed Risk 是 Sophos MDR 的擴展服務之一，而 Sophos MDR 已在全球保護超過 21,000 家企業。Sophos Managed Risk 團隊均取得 Tenable 認證，他們會與 Sophos MDR 密切合作，共用零時差漏洞、已知漏洞和曝光風險的重要資訊，以評估和調查可能已遭入侵的環境。
 
Sophos Managed Risk 已經可從 Sophos 全球通路夥伴和託管式服務供應商 (MSP) 以購買期限授權的方式取得。Sophos MSP Flex 版本將於 2024 年推出。

      本文擷取自資安人

Sophos發布最新《Sophos 2024 年威脅報告》。根據該份報告， 2023 年 Sophos 針對中小企業的惡意軟體偵測中，近 50% 是鍵盤側錄程式、間諜軟體和竊取程式。攻擊者使用這些軟體來竊取資料和憑證，然後再利用竊取到的資訊進行未經授權的遠端存取、勒索受害者，以及部署勒索軟體等。

在這份報告中，Sophos 還分析了初始存取仲介 (IAB)，這是一群專門破解電腦網路的犯罪分子。如報告所示，IAB 正使用暗網來宣傳他們可以破解中小企業網路的能力和服務，或是出售已經破解的中小企業的即時存取權限。

Sophos表示，對網路犯罪分子而言，『資料』猶如貨幣，尤其來源是中小企業時，因為這些企業在運作時往往只會使用同一項服務或軟體應用程式。例如，假設攻擊者在鎖定的目標網路上放入一個竊取憑證的資料竊取軟體，然後取得了該公司會計軟體的密碼。此後，攻擊者就可以取得目標公司的財務狀況，並有能力將資金轉入自己的帳戶。

單是 2023 年向 Sophos 回報的所有網路攻擊中，超過 90% 和資料或憑證竊取有關，無論手法是透過勒索軟體攻擊、資料勒索、未經授權的遠端存取，還是簡單的資料竊取。
勒索軟體仍是中小企業最大的網路威脅
勒索軟體攻擊是中小企業面臨的最大網路威脅。在 Sophos Incident Response (IR) 處理的中小企業案例中，LockBit 是造成嚴重破壞的首要勒索軟體集團，Akira 和 BlackCat 分別排名第二和第三。此外，報告中研究的中小企業，還須面對一些持續存在和較冷門的勒索軟體攻擊，如 BitLocker 和 Crytox。

根據報告，勒索軟體營運者持續改變著勒索軟體的策略，包括利用遠端加密和鎖定託管服務提供商 (MSP) 進行攻擊。在 2022 年和 2023 年間，使用遠端加密的勒索軟體的攻擊量增加了 62%；這是指攻擊者使用受害者網路上未受管理的裝置來加密網路上其他系統的檔案。

此外，過去一年在 Sophos 託管式偵測和回應 (MDR) 團隊處理的案例中，發生了五起小型企業因 MSP 的遠端監控和管理 (RMM) 軟體出現漏洞而遭受攻擊的情形。

相關文章：ConnectWise ScreenConnect軟體出現嚴重漏洞！MSP服務提供商應留意供應鏈攻擊可能

攻擊者強化了社交工程和商業電子郵件詐騙 (BEC) 攻擊
根據 Sophos 這份報告，商業電子郵件詐騙 (BEC) 緊接在勒索軟體之後，是 Sophos IR 在 2023 年處理量第二高的攻擊。

這些商業電子郵件詐騙攻擊和其他社交工程手法變得越來越複雜。攻擊者不再只是傳送夾帶惡意附件的郵件，而是可能會透過傳送一系列對話郵件或甚至打電話來與目標互動。

為了避免被傳統的垃圾郵件防護工具偵測出來，攻擊者會嘗試使用新的格式來傳播惡意內容，包括嵌入包含惡意程式碼的圖片，或是以 OneNote 或壓縮檔的格式來傳送惡意附件。如在 Sophos 調查的一起案例中，攻擊者傳送了一份 PDF 檔，其中有一張模糊不清且無法閱讀的發票縮圖，而下載按鈕的連結則是連往一個惡意網站。

       本文擷取自資安人

        ConnectWise ScreenConnect是一個由伺服器和用戶的應用程式端組成的遠端桌面解決方案。可以由雲端或本地進行部署。
 
上週ConnectWise公告修補完成CVE-2024-1709， CVE-2024-1708漏洞，這兩個漏洞影響23.9.7版及更早的版本。

CVE-2024-1709是一個身份驗證繞過漏洞，允許攻擊者在未修補的設備或服務上建立系統管理員帳戶，並用於惡意目的。
CVE-2024-1708是一個路徑穿越漏洞，允許攻擊者遠端執行程式碼。

ConnectWise公司已確認這兩個漏洞已遭攻擊者利用，目前推出了新的伺服器軟體版本：v23.9.10.8817和v22.4，所有用戶，包含不再維護的用戶，都可以獲得這兩個漏洞的修補程式 。
 
CVE-2024-1709的PoC公開後，惡意攻擊者開始針對易受攻擊的公開ScreenConnect伺服器，希望利用它們進入企業網路。

Mandiant已經確定多個威脅行為者正在大規模利用這些漏洞，其中許多攻擊已部署勒索軟體並進行多方面的勒索。

Sophos X-Ops表示，攻擊者遞送兩種不同的勒索軟體變體，都是由先前洩露的LockBit產生器生成。同時也發現透過ScreenConnect漏洞派送資料竊取器、RAT、蠕蟲、Cobalt Strike 載荷。
外媒報導，部分研究人員還發現了一些攻擊，涉及到加密貨幣採礦和建立SSH後門和持久反向Shell。

Sophos X-Ops強調，任何使用ScreenConnect的人都應立即採取措施隔離易受攻擊的伺服器和用戶端、修補它們並檢查是否有任何入侵跡象。Sophos有證據顯示攻擊者目前正對伺服器和客戶進行攻擊。修補伺服器不會刪除攻擊者在修補之前已經部署的任何惡意軟體或Webshell，管理者需要調查任何受入侵的環境。
 

       本文擷取自資安人

        Sophos揭露殺豬盤詐騙 (即精心策劃的交友型加密貨幣詐騙) 者如何利用類似的商業模式，透過在暗網上銷售詐騙套件，將網路犯罪即服務模式拓展到全球的其他地區。Sophos 在《加密貨幣詐騙轉移到新型態》一文中詳細說明了這些複雜的的交友詐騙模式。這些新套件均源自中國的組織型犯罪集團，提供了進行去中心化 (簡稱「DeFi」) 儲蓄的特定交友詐騙所需的技術工具。

犯罪分子會將 DeFi 儲蓄詐騙包裝成類似於貨幣市場帳戶的被動型投資，鎖定的目標通常是那些不了解加密貨幣的人。受害者預期他們只要將加密錢包連結到一個「經紀帳戶」，就可以從投資中賺取巨額利息。事實上，受害者是將他們的加密錢包連結到詐騙加密貨幣交易池中，然後詐騙分子會將其清空。

Sophos表示，這種交友詐騙首次出現於新冠病毒流行期間，當時詐騙的技術還相對原始，騙子需要花費許多功夫和指導才能成功騙到受害者。現在，隨著詐騙變得更容易得手，詐騙分子也改進了他們的手法。

殺豬盤詐騙與過去勒索軟體和其他類網路犯罪出現類似的演變：那就是 「即服務」的模式。詐騙集團正在開發現成的 DeFi 應用程式套件，其他網路犯罪分子只要從暗網就能買到這些應用程式套件。結果是，泰國、西非甚至美國等地區，都出現了與中國組織型犯罪集團無關的新的交友詐騙集團。

「即服務」的模式提供工具包降低了其他交友詐騙分子的進入門檻，並大大擴大了受害對象。去年，單是交友詐騙的規模已達數十億美元；遺憾的是，這個問題今年還會變得超級嚴重。

Sophos X-Ops 兩年來一直持續追蹤交友詐騙的演變。最早期的詐騙 (被 Sophos 稱為「CryptoRom」騙局) 是透過交友應用程式與潛在受害者聯繫，然後說服他們從第三方來源下載假的加密貨幣交易應用程式。對於 iOS 用戶來說，這些騙局會要求受害者下載一個精心設計的應用程式，使詐騙者能夠繞過受害者裝置上的安全防護並使用他們的電子錢包。

2022 年，詐騙分子繼續改進他們的作法。這次他們找到了繞過應用程式商店審核流程的方法，將其詐騙應用程式上架到合法的 App Store 和 Google Play 商店。今年還出現了新的詐騙模式：假的加密貨幣交易池 (流動性挖礦)。 

2023 年，Sophos X-Ops 發現了兩個大型交友詐騙集團，一個位於香港，一個位於柬埔寨。這些集團使用合法的加密貨幣交易應用程式，然後創造一些精心設計的假身分來引誘受害者，並從他們身上竊取數百萬美元。進一步調查顯示，交友詐騙集團正在試圖將人工智慧新增到他們的工具箱中。

2023 年底，Sophos X-Ops 發現了一個大型流動性挖礦騙局，其涉及到三個不同的中國組織型犯罪集團，鎖定了近 100 名受害者。在調查該行動期間，Sophos X-Ops 首先注意到出現了交友詐騙套件。

在 Sophos X-Ops 最近調查的交友詐騙中，詐騙分子掃除了先前的所有技術障礙，並顯著減少了從受害者竊取資訊所需的社交手動工程操作。在 DeFi 儲蓄騙局中，受害者現在是透過合法且知名的加密貨幣應用程式進行假的加密貨幣交易，讓他們允許詐騙者在不知不覺中直接使用他們的錢包。此外，詐騙分子還可以隱藏被盜錢包的洗錢網路，使執法部門更難以追蹤詐騙。

Sophos 認為DeFi 儲蓄騙局是交友詐騙分子兩年來集其技術大成的結晶。詐騙分子再也不用說服受害者下載一些奇怪的應用程式，或是將加密貨幣轉移到即將被竊的數位錢包中了。
避免成為交友詐騙犧牲者
為了避免成為交友詐騙的受害者，Sophos 建議採取以下措施：


對透過 Facebook等社交網站或簡訊來聯繫的陌生人保持懷疑，尤其是當他們想快速將對話轉移到 WhatsApp 等私人通訊工具時


這一點也適用於交友應用程式上的成功匹配，尤其是當對方開始和你談論加密貨幣交易時


對任何承諾在短時間內獲得巨額回報的「快速致富」計畫或加密貨幣投資機會時時保持戒心
熟悉交友騙局和投資騙局的誘惑和策略。CyberCrime Support Network (CSN) 等非營利組織擁有可以提供幫助的資源
任何認為自己成為交友詐騙受害者的人應立即從受影響的錢包中提出所有資金，並聯繫執法單位。

      本文擷取自資安人

      Sophos發表和研究機構 Tech Research Asia (TRA) 合作進行的《亞太地區和日本網路安全的未來》第四版調查報告。該報告顯示，在網路安全和 IT 領域的受訪者中，有 90% 受倦怠和疲勞的影響。
該研究顯示，受訪者幾乎在網路安全操作的所有層面都感到倦怠。有 30% 的受訪者表示，在過去一年內倦怠感明顯增加，其中 41% 表示這種倦怠使他們無法充分投入工作，有 17% 的受訪者指出倦怠或疲勞對網路安全漏洞產生了影響，甚至直接造成網路安全漏洞，而有 17% 的公司在應對網路安全事件速度比平均反應時間更慢。
網路安全倦怠和疲勞的原因
報告中列舉造成網路安全倦怠和疲勞的五大主要原因包括：


缺乏支援網路安全活動的資源
例行性工作過度單調  
來自董事會和/或高階管理層的壓力增加 
工具和系統不斷出現過多警示   
威脅活動增加且各種新手法層出不窮，使得環境更具挑戰性且永無止歇


倦怠和疲勞對網路安全員工的影響
研究顯示，在整個亞太地區和日本 (APJ)：


41% 受訪者表示無法充分投入工作
34% 在受到網路安全漏洞或攻擊時感到更焦慮
31% 對網路安全活動和責任產生懷疑、疏離和冷漠
30% 表示這些狀況讓他們想要辭職或轉換職業 (受訪者中有 23% 已經採取行動並辭職)
10% 感到內疚，因為他們無法在自己的角色上為網路安全做更多事

Sophos 表示，員工的穩定性和表現對是否能為企業提供強大的防禦至關重要。倦怠和疲勞正在削弱他們的心力。儘管沒有特效藥，但調整態度將對企業如何定義出資安韌性有很大的正面影響。

網路安全倦怠和疲勞對業務運作的影響
網路安全倦怠和疲勞對業務運作產生直接影響的四個關鍵領域包括：


直接導致網路安全漏洞：17% 的受訪者指出，網路安全倦怠或疲勞會對網路安全漏洞產生影響，或直接造成了網路安全漏洞
對網路安全事件反應時間較慢：17% 的公司對網路安全事件反應時間比平均值更長
生產力損失：企業中的網路安全和 IT 專業人員每週因倦怠而損失達 4.1 小時的生產力。菲律賓 (每週 4.6 小時) 和新加坡 (每週 4.2 小時) 的公司受影響最嚴重，而印度和日本 (都是每週 3.6 小時) 受影響最輕微
離職和員工流失：有 23% 的公司直指壓力和倦怠是網路安全和 IT 專業人員辭職的原因。新加坡離職率為 38%，印度為 31%。受訪組織還指出，平均而言，約有 11% 的網路安全或 IT 員工因受到壓力或倦怠的影響而「離職」。馬來西亞 (28% 的受訪組織) 和新加坡 (15%) 的發生率最高。

         本文擷取自資安人

         2023年的「全球網路安全日」(Safer Internet Day，SID) 訂為 2 月 6 日，隨著這一天即將到來，Sophos 提供了來自 Sophos X-Ops 安全專家的一些提示和評論，以教育使用者和企業如何在網際網路上保護自己。

Sophos X-Ops 威脅研究總監 Christopher Budd 表示，今年的『全球網路安全日』是一個及時的提醒，教育我們如何在網路上保護自己，尤其是強調應該建立強固的密碼以防憑證被竊。遭竊的憑證常被用來入侵企業網路、升級權限、竊取資料，最終發動勒索軟體等攻擊。

他強調，雖然討厭使用密碼並認為它們很麻煩，但密碼仍是不可或缺的。甚至在今天，仍能看到一些大型公司因為他們或他們的員工因密碼管理不當而受到威脅。在每個網站 (或至少每個重要網站) 使用獨特且唯一的密碼仍是確保自己安全的最佳方法之一。除了使用獨特的密碼外，採用多因素驗證應用程式亦是您保護重要帳戶和資訊的重要步驟。

Sophos X-Ops 的《主動攻擊者報告》發現，在 2023 年，被竊的憑證首次成為導致資料竊取和勒索軟體攻擊的主要根本原因。這意味著網路犯罪分子會使用他們竊取來的登入資訊進入企業網路。而分析發現，超過一半 (56%) 的攻擊與遭竊的帳號/密碼登入資訊有關。這個數字在 2022 年至 2023 年間增加了 26%。

同時，記住『拒絕』的力量也是重要的。保護資料和資訊最佳方法是一開始就不要提供它們。即使某個網站要求您提供生日，並不代表他們真的需要，也不表示他們有權要求。簡單來說，如果一個網站或服務沒有您的資料，他們就無法遺失它，也無法不慎外洩它，更不會被偷走它。

只要落實以上這兩個基本的網路安全步驟，您就已經朝著讓自己安全上網的目標邁進了一大步。

此外，Sophos X-Ops 還提供一些安全上網的建議：

點擊連結時請格外小心
保持所有應用程式、App 和裝置都更新到最新狀態
採用優質的安全軟體
將所有未經請求的通訊 (電子郵件、電話、簡訊) 視為可疑

       
        以下擷取自資安人

Sophos發布一份《CryptoGuard：一種非對稱的勒索軟體防禦方式》報告指出，一些最活躍且影響幅度大的勒索軟體集團，包括 Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等，均會蓄意在攻擊時進行遠端加密。在遠端加密攻擊 (也稱為遠端勒索軟體) 中，攻擊者會利用已經遭入侵且通常保護不足的端點，對連線到同一網路的其他裝置進行資料加密。

Sophos 表示，企業可能有成千上萬台連線到公司網路的電腦，而在遠端勒索軟體中，只要一台設備保護不足，就足以危及整個網路。攻擊者知道這一點，所以他們會尋找『弱點』下手，而大多數公司中都至少有一個。遠端加密將是防禦人員必須持續面對的問題，而且根據我們所看到的警示，這種攻擊方法正在穩定增加。

這類攻擊涉及遠端檔案加密，傳統部署在遠端裝置上的反勒索軟體保護無法「看到」惡意檔案或其活動，因此無法阻止未經授權的加密和潛在的資料外洩。不過，Sophos CryptoGuard 技術採取創新的方式來阻止遠端勒索軟體，正如 Sophos X-Ops 文章所解釋的：分析檔案內容，檢查是否有任何資料被加密，以便在網路的任何裝置上偵測出勒索軟體活動，即使該裝置上沒有惡意軟體。

在 2013 年，CryptoLocker 是第一個大量使用遠端加密和非對稱加密 (也被稱為公開金鑰加密) 的勒索軟體。從那時起，由於全球組織普遍存在安全漏洞以及加密貨幣出現，攻擊者更頻繁地使用勒索軟體了。自 2022 年以來，Sophos的CryptoGuard 偵測到的蓄意遠端加密攻擊年增率達 62%。

Sophos 10年前第一次注意到 CryptoLocker 利用遠端加密進行攻擊，並預期這種手法將成為防禦人員的一大挑戰，而其他解決方案都只專注於偵測惡意二進位檔案或執行的動作。在從遠端加密的情況下，惡意軟體是存在於一台未受保護的電腦，而非檔案被加密的電腦。唯一阻止它的方式是監視並保護這些檔案。
 
Sophos解釋，CryptoGuard 並不會尋找勒索軟體；相反地，它把重心放在主要目標，也就是檔案。它會對文件進行數學運算，偵測其是否被竄改和加密。值得注意的是，這種獨立作業的策略刻意不依賴入侵指標、威脅特徵、人工智慧、雲端查找結果或先前的情報，以達到預期效果。透過專心監控檔案，我們可以改變攻擊者和防禦者之間的平衡。我們讓攻擊者成功加密資料的成本和複雜性增加，讓他們放棄原本的目標。這是我們非對稱防禦策略的一部分。

遠端勒索軟體對組織來說是一個重要的問題，也是勒索軟體長期存在的原因之一。由於透過連線讀取資料要比從本機磁碟讀取慢，我們看到像 LockBit 和 Akira 等攻擊者會策略性地僅加密每個檔案的一小部份。這種方法的目的是在最短時間內造成最大的破壞，進一步縮小防禦人員察覺攻擊並做出反應的空窗期。Sophos 的反勒索軟體技術可以阻止遠端攻擊，以及這類僅加密檔案的 3% 的攻擊。我們希望提醒防禦人員注意這種持續的攻擊方法，讓他們能夠適當地保護裝置。

Sophos CryptoGuard 是 Sophos 在 2015 年收購的反勒索軟體技術，已整合到所有 Sophos 端點授權中。CryptoGuard 會監控惡意加密檔案的行為，提供即時保護和回復原功能，即使勒索軟體本身未出現在受保護的主機上也能加以防禦。這種獨特的反勒索軟體技術是 Sophos 多層式端點保護的「最後一道」防線，只會在攻擊者在攻擊鏈中觸發時才會啟用。自 2022 年以來，CryptoGuard 偵測到的蓄意遠端加密攻擊年增率達 62%。

       本文擷取自資安人

「營運不中斷」是工業領域企業及關鍵基礎設施組織的鐵則。當勒索軟體全球肆虐時，這個鐵則讓他們更可能支付贖金，更吸引許多惡意駭客組織聚焦OT系統。

根據Claroty 報告，在過去 12 個月中，54%的工業企業遭受了勒索軟體攻擊，影響了其OT系統，無論是直接攻擊OT系統抑或受到IT系統攻擊影響。與Claroty 2021 年的報告相比，對 OT 系統的攻擊影響顯著增加，當時 47% 的公司受到勒索軟體影響其運營。

事實上，針對工控企業和關鍵基礎設施供應商的攻擊已經變得非常普遍。與伊朗有關的威脅組織 Cyber Av3ngers 攻擊美國匹茲堡的阿利基帕市政水務局，迫使其關閉水壓監測系統並更改了網站的登陸頁面。該事件是11 月底開始針對美國各地供水設施廣泛網路攻擊的一部分。但關注的不僅僅是公用事業；2022 年 2 月，輪胎製造商普利司通在 LockBit 2.0 勒索軟體組織成功入侵後，不得不關閉其製造網路數天。

Claroty 調查顯示，超過三分之一 (37%) 的公司在 2023 年遭受同時影響 IT 和 OT 系統的攻擊；2021 年，這個數字只有27%。

Claroty表示，數字成長不僅表明OT與工控安全的嚴重性，且顯示OT攻擊是一種極其可行的商業模式。由於許多 OT 系統都是基於 Windows，如果網路分段不佳或沒有分段，勒索軟體經常從 IT 環境溢出到 OT 環境。

無論勒索軟體攻擊事件如何增加，針對工控的網路攻擊始終佔三分之一。(圖: NCC 集團)


網路安全服務公司 NCC Group 的資料顯示，過去一年中，工業部門仍然是每月最大的勒索軟體目標。與去年同月相比，10 月份的勒索軟體攻擊增加了 81%，而針對工業部門的攻擊通常占所有勒索軟體事件的三分之一。

NCC 集團表示，地緣政治衝突導致國家支持的行為者和駭客活動分子發起針對工業領域的企業攻擊。禁用或削弱能源基礎設施的供給量可能導致一般民眾的使用受到限制甚至無法使用，從而加劇戰爭和衝突帶來的不穩定和混亂。
 
對駭客而言，攻擊工業領域的公司有吸引力的原因之一是：運營中斷導致支付贖金的可能性更大。通常情況下，企業支付勒索軟體的傾向在很大程度上取決於他們的收入。根據 Sophos 的年度勒索軟體狀況報告，較小的公司支付勒索軟體費用的比例為 36%，而不是依賴備份，而較大的公司支付勒索軟體費用的比例為 55% 。

與此同時，根據 Claroty 的《2023 年全球工業網路安全狀況》報告，工業領域的受害者支付費用的比例高達三分之二 (67%) 。

Claroty表示，只要看看三分之二的組織正在支付贖金這一事實，就可以瞭解為什麼如此多的組織受到攻擊。運營中斷讓 CIO 左右為難，迫使他們做出這些情緒化決定。

供應鏈是依賴 OT 系統的用戶組織需要解決的另一個弱點。

根據安全指標公司 SecurityScorecard 的資料，美國所有排名前 10 的能源公司都有一家協力廠商供應商在過去 12 個月內遭受到入侵，導致其業務遭到破壞。SecurityScorecard 舉例，MOVEit 漏洞就影響了數百家能源公司。

Claroty表示，在Coronal Pipeline 油管遭受勒索軟體攻擊兩年後，多數關鍵基礎設施所有者仍然沒有做好防範勒索軟體的準備，這通常是因為經濟效益不高。

相關文章: Colonial Pipeline事件兩年後: 關鍵基礎設施的資安仍任重道遠

Claroty認為，OT安全需要政府介入，不僅要推動監管，還要推動資金投入，以確保許多在網路方面投資不足的確扮演關鍵角色的單位得到適當的保護。

NCC 集團表示，公司內部不需要擁有深厚的專業知識，但應該專注於可見性、規劃和事件回應練習。為 IT 和 OT 制定強大的事件回應計畫，然後排練和演練該計畫，讓所有利益相關者都有明確角色和職責。

        本文擷取自資安人

Sophos 發布兩份關於人工智慧應用於網路犯罪的報告。第一份報告名為《AI 的黑暗面：由生成式 AI 支援的大型詐騙活動》，揭露了未來詐騙者如何利用像 ChatGPT 這樣的技術，只需最少技術門檻便能進行大規模的詐騙。然而，另一份名為《網路犯罪者對 GPT 仍無共識》報告發現，儘管人工智慧具有潛力，但有些網路犯罪者並不會積極採用像 ChatGPT 這樣的大型語言模型 (LLM)，甚至對使用人工智慧進行攻擊持保留和懷疑的態度。
人工智慧的黑暗面
只要利用簡單的電子商務範本和如 GPT-4 的大型語言模型工具，Sophos X-Ops 就能建立一個功能完整的網站，包括由人工智慧產生的圖片、聲音和產品描述，以及假的 Facebook 登入和結帳頁面，可用來竊取使用者的登入憑證和信用卡資訊。建立這種網站所需的技術門檻非常低，而且使用同一工具，Sophos X-Ops 能夠在幾分鐘內一鍵建立數百個類似的網站。

Sophos表示，犯罪分子改用新技術來進行自動化是自然且可預料之事。最初導入垃圾郵件，就是詐騙技術的一個重要里程碑，因為它改變了攻擊的規模和方式。新的人工智慧正處於相同的位置；如果存在能夠產生完整自動化威脅的 AI 技術，人們最終就會使用它。現已看到生成式AI被整合到經典的詐騙中，例如使用 AI 生成的文字或照片來誘騙受害者。

Sophos進行這項研究的部分原因是為了超前犯罪分子一步。透過建立一個比犯罪分子現有工具更先進的大規模詐騙網站生成系統，讓我們有機會在威脅蔓延之前先進行分析和準備。

網路犯罪者對於 GPT 仍無共識
為了研究攻擊者對人工智慧的態度，Sophos X-Ops 調查了四個知名的暗網論壇，檢視與大型語言模型相關的討論。儘管網路犯罪者對於人工智慧的使用似乎還處於早期階段，但暗網上的威脅行為者開始討論它在社交工程方面的潛力。Sophos X-Ops 已經看到在以交友為基礎的加密貨幣詐騙中使用人工智慧的案例。

此外，Sophos X-Ops 發現大多數貼文及出售被竊的 ChatGPT 帳戶與「越獄」有關，這是繞過大型語言模型內建保護措施的方法，網路犯罪分子可以藉此濫用它們進行惡意用途。

Sophos X-Ops 還發現了十個 ChatGPT 的衍生版本，創作者聲稱可以用於發動網路攻擊和開發惡意軟體。然而，威脅行為者對這些衍生版本和其他對大型語言模型的惡意應用反應不一，許多犯罪分子表示對這些模仿 ChatGPT的創作者試圖欺騙自己人感到卻步。

Sophos X-Ops表示，到目前為止，威脅行為者對它的懷疑勝過熱情。在Sophos調查的四個暗網論壇中的兩個，只發現了 100 篇關於人工智慧的貼文。相比之下，在同一時間，則有 1,000 篇和加密貨幣有關的貼文。

目前確實看到一些網路犯罪分子試圖使用大型語言模型建立惡意軟體或攻擊工具，但成果都很不理想，常常遭到其他用戶的懷疑。

Sophos分享在某個案例中，一名威脅行為者急於展示 ChatGPT 的潛力，還無意中透露了自己的真實身分。調查甚至發現了許多人工智慧對社會可能會產生負面影響和道德問題的『反省文』。換句話說，至少目前看來，網路犯罪分子對大型語言模型的看法與我們其他人一樣，仍無共識。