全部文章分享

        本文擷取自資安人

Sophos 《2024 年勒索軟體現況》報告顯示，過去一年受到勒索軟體攻擊的受害者中有 97% 曾與執法單位和/或政府機構合作，尋求被攻擊的協助。超過一半 (59%) 與執法單位合作的企業表示這個過程容易或相對容易，只有 10% 的受訪者表示這個過程非常困難。

根據調查，受影響企業會與執法單位和/或政府機構合作，尋求各種對抗勒索軟體攻擊的協助。61% 的受訪者表示他們獲得了如何應對勒索軟體的建議，而 60% 獲得了調查攻擊的幫助。58% 的資料被加密的受訪者獲得了執法單位的幫助，以從勒索軟體攻擊中復原他們的資料。

Sophos表示，傳統上，公司總是會避免與執法單位合作，因為他們擔心自己受到攻擊的事情會公諸於世。一旦被知道他們曾經成為受害者，可能會影響業務聲譽，使情況變得更糟。長期以來，受害者受到責難一直是攻擊的後果之一，但在這方面我們有了進步，無論是在安全社群還是在政府層面。例如，回報網路安全事件的新法規似乎已經使受害者與執法單位合作成為一種常態。調查數據顯示企業正朝正確的方向邁出步伐。如果公部門和私部門能夠繼續團結一致，成為一個協力團體來幫助企業，我們就能夠繼續改善我們快速復原和收集情報的能力以保護他人，甚至還能追究攻擊者的責任。

Sophos X-Ops 最新的現場調查主動攻擊者報告發現指出勒索軟體對中小型企業持續造成威脅。根據 2023 年超過 150 個事件回應案例的數據，勒索軟體連續第四年成為最常見的攻擊類型，在 Sophos X-Ops 調查的事件回應案例中有 70% 是此類攻擊。

Sophos最近的主動攻擊者報告顯示，許多企業仍未實作可以顯著降低整體風險的關鍵安全措施，包括即時修補裝置和啟用多因素驗證。從執法單位的角度來看，儘管他們最近成功地關閉了 LockBit 到 Qakbot，但事實證明這些成功只是暫時性的干擾，而不是長期或永久性的勝利。

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

            本文擷取去資安人

Sophos發布年度《2024 年勒索軟體現況》調查報告，發現過去一年平均支付的贖金暴增了五倍。報告發現支付贖金的企業平均支付高達 200 萬美元，較 2023 年的 40 萬美元大幅增加。但贖金僅是一部分成本。除了贖金外，復原成本的平均值達到 273 萬美元，比 Sophos 的2023 年報告中的 182 萬美元增加了近百萬美元。

儘管贖金不斷攀升，今年的調查顯示勒索軟體攻擊率略為下降，約 59% 的企業受到攻擊，而 2023 年時則為 66%。雖然營收較高的企業受到勒索軟體攻擊的可能性較高，但即使是營收不到 1,000 萬美元的最小型企業也經常成為目標，過去一年中有將近一半 (47%) 遭受勒索軟體攻擊。

2024 年的報告還發現，63% 的案件索求贖金為 100 萬美元或更高，其中 30% 超過500 萬美元，這表明勒索軟體營運者想要牟取暴利。不幸的是，不只營收額最高的企業被索取的贖金增加，將近一半 (46%) 營收不到 5,000 萬美元的企業，在過去一年被索取的贖金高達七位數。

Sophos表示，不應該讓攻擊率稍微下降就產生自滿。勒索軟體攻擊仍然是當今最主要的威脅，並是網路犯罪經濟的推手。如果沒有勒索軟體，就不會有這麼多支持勒索軟體的多樣化和層出不窮的前導威脅和服務。成本飆升掩蓋了勒索軟體攻擊是一種無差別犯罪的事實。當今勒索軟體的整體環境使得每一個網路犯罪分子都有機可乘，無論是否擁有技能。雖然部分集團專攻數百萬美元的贖金，但也有些人只收取低額贖金，採取積沙成塔的策略。
攻擊的起始點
連續二年來，被利用的漏洞是攻擊最常見的根本原因，影響了 32% 的企業。其次是遭竊憑證 (29%) 和惡意電子郵件 (23%)。這與 Sophos 最近《主動攻擊者報告》中在事件回應現場所發現的事實一致。

受害者回報指出，攻擊始於漏洞利用的攻擊對企業造成的影響最為嚴重，因其備份被破壞 (75%)、資料被加密 (67%) 和支付贖金 (71%) 的比例都高於攻擊始於遭竊憑證的情況。受調查的企業在財務和營運方面遭受的影響也更大，平均復原成本高達 358 萬美元，而攻擊始於遭竊憑證時為 258 萬美元。受害企業需要超過一個月才能復原的比例也更高。

報告中其他值得注意的發現包括：


在支付贖款的企業中，不到四分之一 (24%) 支付了對方原本要求的金額，其他 44% 回報支付的贖金低於對方要求
平均支付金額為最初贖金要求的 94%
在超過五分之四 (82%) 的案例中，贖金來自多個來源整體而言，總贖金中的 40% 來自企業自身，23% 來自保險業者
過去一年受到勒索軟體攻擊的企業中，有 94% 表示網路犯罪分子試圖破壞他們的備份，而在州立和地方政府中則高達 99%在 57% 的案例中，備份已被破壞
在 32% 的資料遭加密事件中，也發生資料被竊取的情形，相較去年的 30% 稍有增加。這將增加攻擊者向受害者進行勒索的能力

Sophos表示，風險管理是我們作為防禦者的重中之重。勒索軟體攻擊最常見的兩個根本原因是被利用的漏洞和遭竊的憑證，雖然可以預防，但太多企業仍然深受其擾。

企業需要全面評估他們環境中這些根本原因的暴露程度，並立即解決這些問題。即使環境中的防禦資源不足，企業仍需要盡可能讓攻擊者無法得手。只有提高攻擊者入侵網路所需的門檻，企業才能有效地利用其防禦的預算。

Sophos 建議採取以下最佳作法來幫助企業防禦勒索軟體和其他網路攻擊：


了解風險概況，使用 Sophos Managed Risk 等工具來評估企業的外部受攻擊面，優先處理最危險的曝險，並提供量身訂製的修補指引
使用如 Sophos Intercept X 等端點保護，阻止各種不斷變化的勒索軟體技術
取得內部團隊或經由託管式偵測與回應 (MDR) 供應商的支援，加強防禦並實現全天候的威脅偵測、調查和回應
制定並維持一份事件回應計畫，以及定期備份資料並練習從備份中復原資料

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

     本文擷取自資安人

身份識別與存取管理(IAM)服務提供商Okta發出警示，近期針對線上服務的憑證填充攻擊在「頻率與規模」上出現前所未見的攀升。
 
Okta於預警中表示，這些攻擊是由「廣泛使用的住宅代理服務(residential proxy services)加上先前遭竊的憑證集合清單(combo lists)及腳本工具」實現。
 
這項發現印證了思科(Cisco)近期發布的公告，警告自3月18日以來，針對各種裝置包括虛擬私有網路(VPN)服務、網路應用程式驗證介面和SSH服務的暴力破解攻擊在全球範圍大幅增加。

相關文章：思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
 
當時Talos指出，這些攻擊似乎全都來自TOR出口節點及各種其他匿名隧道和代理程式。攻擊目標包括思科、Check Point、Fortinet、SonicWall的VPN設備，以及Draytek、MikroTik和Ubiquiti等品牌的路由器。
 
Okta的身份威脅研究團隊在4月19日至4月26日期間，偵測到高度可能是來自相同來源的憑證填充活動。
 
憑證填充是一種網路攻擊手法，駭客會拿入侵獲得的憑證，嘗試登入另一個無關聯的服務。憑證也可能是透過釣魚攻擊重新導向受害者至憑證收集頁面，或是利用安裝資訊竊取程式的惡意軟體活動等途徑獲取。
 
Okta表示目前觀察到的所有近期攻擊都有一個共同點，它們都仰賴透過匿名服務(如TOR)路由請求。數以百萬計的請求也是經過各種住宅代理伺服器導引，包括NSOCKS、Luminati和DataImpulse。
 
住宅代理伺服器(RESIP)是指使用者合法裝置的網路。但RESIP常遭到濫用，讓威脅行為者能在不知情或未取得同意下，以各式裝置遮蔽惡意流量的來源。
 
通常是透過在電腦、行動裝置或路由器上安裝代理程式的手法。這些代理程式中藏有殭屍網路病毒，惡意行為者可出租給想要隱匿流量來源的其他惡意駭客。
 
Okta表示，這些大多數憑證填充攻擊的流量似乎都來自一般使用者的行動裝置和瀏覽器，而非VPS供應商的IP空間。
 
為降低帳戶遭入侵的風險，Okta建議企業強制使用者改用強密碼、啟用雙因素驗證(2FA)、封鎖來自無營運據點的請求和不良IP來源、並新增密鑰(passkeys)。

本文轉載自thehackernews。

      本文擷取自資安人

Check Point® Software Technologies Ltd. 宣布推出一系列全新電子郵件安全功能，包括獲得專利的整合隔離、DMARC 監控、歸檔和智慧橫幅（Smart Banners），以增強 Check Point Harmony Email & Collaboration 的產品組合。自 2023 年起，Check Point 已針對 Harmony Email & Collaboration 發布超過 75 項新功能，藉由預防措施進一步加強了協作式電子郵件安全防護，以有效應對日趨嚴峻的網路攻擊威脅。Check Point 透過這些新增的全新功能，在單一介面針對進階威脅提供安全防護。
 
雖然尖端的網路防禦技術不斷興起，但電子郵件仍然是網路攻擊的主要管道，包括網路釣魚攻擊、惡意軟體和商業電子郵件詐騙（BEC）。根據 美國CISA 的評估，在收到惡意電子郵件後的 10 分鐘內，有 84% 員工會因回覆敏感資訊，或與欺騙性的連結或附件互動，而上當受騙。隨著人工智慧進一步增強網路釣魚攻擊，使其信件更具有說服力，企業必須更優先重視電子郵件安全。
 
Check Point 表示，透過歸檔和 DMARC 功能，持續提供全面的安全防護，並運用最近獲得美國專利的整合隔離功能驅動創新。面對攻擊者不斷以嶄新手法將電子郵件武器化的狀況，Check Point將繼續開發全面性的 360 度安全解決方案，主動因應隨處可能出現的複雜網路釣魚戰術。
 
作為Check Point Infinity 平台的一環，Harmony Email & Collaboration 具備以下功能：

整合隔離：此專利功能簡化了電子郵件管理，管理員和終端使用者得以透過單一整合式的 Check Point 介面查看和恢復所有被 Microsoft 和 Harmony E-mail 隔離的電子郵件，從而簡化流程，並減少管理工作與終端使用者之間的不必要摩擦。
 
DMARC 監控：允許組織在不影響業務營運的情況下，以嚴格的 DMARC 策略保護品牌信譽，並防止針對其客戶和合作夥伴的偽冒攻擊。
 
歸檔：可保存所有內外部收發的電子郵件多年，亦能把其他廠商之電子郵件內容匯入歸檔儲存，並進一步支援災難復原和法務用途。
 
智慧橫幅（Smart Banners）：直接在電子郵件中，對使用者進行網路安全教育，促進合規性，並準確通報不易察覺的可疑惡意電子郵件。

       本文擷取自資安人

外媒報導，思科示警全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 等設備的 VPN 和 SSH 服務遭受大規模的暴力撞庫攻擊。
 
暴力撞庫攻擊是嘗試使用大量的用戶名和密碼來登入帳戶或設備，直到找到正確的組合。一旦獲得正確的憑證，威脅行為者就可以利用它們劫持設備或訪問內部網路。
 
根據思科 Talos 的資訊，這次攻擊使用了一些有效的和通用的員工用戶ID，這些ID與特定的組織相關。
 
研究人員表示，這些攻擊開始於 2024 年 3 月 18 日，所有攻擊都源自 TOR 出口節點，攻擊主使者使用各種匿名工具和代理程式躲避封鎖。
 
思科 Talos 警告，依據目標環境的不同，攻擊成功可能會導致未經授權的網路訪問、帳戶鎖定或拒絕服務等後果。目前觀察到與攻擊相關的流量正隨著時間增加中。
 
用於進行攻擊的服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy 和 Proxy Rack。
 
思科的研究人員表示，以下服務正遭受積極攻擊:

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti 

這此惡意活動沒有特定目標，表示背後的主使者，採取了隨機的攻擊策略。Talos 團隊已在 GitHub 上分享了這一活動的一系列完整的入侵指標(IoC)，包括攻擊者的 IP 地址以供列入黑名單，以及用於暴力攻擊的用戶名和密碼列表。
 
2024 年 3 月下旬，思科曾警告遭受一波 Cisco Secure Firewall 設備上的遠端 VPN (RAVPN) 服務的密碼噴灑攻擊。密碼噴灑攻擊對弱密碼政策更有效，密碼噴灑瞄準許多用戶名使用一小組常用密碼。
 
基於觀察到的攻擊模式和攻擊範圍，研究人員將這些攻擊歸因於一個名為「Brutus」的惡意軟體僵屍網路。但到目前為止尚未確認是否兩起攻擊事件是否有關聯。
 

       本文擷取自資安人

資安專家近期針對 Microsoft Message Queuing (MSMQ) 中介軟體服務中的一個嚴重資安漏洞提出警告，指出 Windows 系統管理者應立即套用修補軟體，修復此漏洞。目前有數十萬台 Windows 系統曝露於該資安風險之下。

MSMQ 於所有 Windows 各版本中均有提供，是一個可讓 App 具備網路通訊能力的選用組件，可以透過 PowerShell 或控制台（Control Panel）來啟用。

資安廠商 Fortinet 和 CheckPoint 旗下的資安專家指出，在 MSMQ 中存在的嚴重漏洞 CVE-2023-21554 可讓駭侵者以特製的 MSMQ 惡意封包，在不需要使用者互動的情形下，輕易進行攻擊，並且遠端執行任意程式碼。

受該漏洞影響的 Windows 版本，為目前市面上全系列的所有版本，包括最新版本的 Windows 11 22H2 與 Windows Server 2022。Microsoft 本身已在日前釋出的 2023 年 4 月分 Patch Tuesday 例行性資安修補包中修復此一漏洞，但根據 Check Point 的估計，目前仍有約 36 萬台 Windows MSMQ 伺服器尚未完成該漏洞的修補作業，因此仍曝露在駭侵攻擊的風險之下。

Microsoft 指出，目前已接獲有駭侵者利用此漏洞發動攻擊的情報，所有 Windows 系統管理者，應正視這個漏洞可能帶來的威脅，且應立即進行修補。

CVE 編號：CVE-2023-21554
影響產品：Windows 各版本作業系統，包括 Windows 11 2022H2 與 Windows Server 2022。
解決方案：建議立即套用 Microsoft 日前釋出的 Patch Tuesday 資安修補包。

       本文擷取自資安人

微軟在2024年4月推出了重大的安全更新，共修復了149個漏洞，其中2個正在被惡意利用。
 
修復的漏洞中，有3項被評為「關鍵」級，142項被評為「重要」級，3項為「中度」，1項為「低度」。除了這149個漏洞外，微軟也於3月發布patch tuesday後另行修補了Edge瀏覽器的21個漏洞。
 
本月資安人員須特別注意兩個漏洞，根據外媒報導，這兩個漏洞已被攻擊者利用：

CVE-2024-26234 (CVSS 6.7分) - 代理驅動程式欺騙漏洞（Proxy Driver Spoofing Vulnerability）
Sophos公司已發現一款惡意程式利用微軟的合法數位簽章來偽裝成正版軟體。該程式包含3proxy後門組件，可監控並攔截受感染系統的網路流量。Sophos 在野外發現了該後門的多個變體，最早可追溯到2023年1月5日。
 
CVE-2024-29988 (CVSS 8.8分)- SmartScreen提示安全繞過漏洞
與CVE-2024-21412和CVE-2023-36025一樣，攻擊者可利用這個漏洞繞過Microsoft Defender SmartScreen的保護，誘使使用者執行惡意檔案。Zero Day Initiative表示已有證據顯示此漏洞正在被野外利用。


其他值得關注的漏洞
另一個重要的漏洞是CVE-2024-29990 (CVSS分數:9.0)，這是一個影響Microsoft Azure Kubernetes Service保密容器的特權提升漏洞，未經身份驗證的攻擊者可利用它來竊取憑證。
 
此次更新還修復了68個遠端程式碼執行、31個權限提升、26個安全繞過以及6個拒絕服務漏洞。值得注意的是，有24個安全繞過漏洞與Windows安全啟動功能有關。
 
分析師表示，雖然這些漏洞尚未在野外被利用，但它們提醒大家，安全啟動機制仍存在問題，未來可能會出現更多相關的惡意活動。
 
Microsoft在這次更新中使用了CWE評估標準，這有助於開發人員了解漏洞的根源原因，從而在軟體開發生命週期中採取更好的措施來預防攻擊。

      本文擷取自資安人

Sophos 宣布與Tenable 建立策略合作夥伴關係，提供全球性的漏洞和受攻擊面管理服務 Sophos Managed Risk。這項新服務擁有專屬的 Sophos 團隊，使用 Tenable 的曝險管理技術並與 Sophos Managed Detection and Response (MDR) 的安全營運專家合作，提供防禦網路攻擊所需的受攻擊面可見性、持續風險監控、漏洞優先處理、調查和主動通知能力。
 
在今日，受攻擊面已超出傳統的本地 IT 邊界，因為企業在運作時經常使用數量未知的外部和連線到網際網路的資產。這些資產未經修補或保護不足，使其容易受到網路攻擊者的攻擊。這一點在今天同時發布的最新《Sophos 主動攻擊者報告》中可以明顯看出。該報告指出企業必須優先考慮三項任務，以減少導致勒索軟體或其他類型攻擊的入侵風險，包括關閉暴露的遠端桌面通訊協定 (RDP) 存取權限、啟用多因素驗證，以及修補易受攻擊的伺服器等，而上述都是 Sophos Incident Response 團隊在 2023 年處理的入侵事件中的主要缺口。Sophos Managed Risk 服務可以評估企業的外部受攻擊面，優先處理最嚴重的曝險，例如開放的 RDP，並提供量身訂製的修補指引，以協助消除盲點，並預防潛在的毀滅性攻擊。
 
Sophos 表示，企業必須嚴格管理曝險，因為如果不加注意，它們將會導致代價更高且耗時的問題，而且往往成為重大資安事件根本原因。我們從 Sophos 全球調查數據中得知，32% 的勒索軟體攻擊起源於未修補的漏洞，而且這些攻擊的修復成本最高。
 
Tenabl表示，儘管最新的零時差漏洞可能會躍上新聞頭條，但企業面對的最大威脅仍然是已知的漏洞，或是已經有修補程式可用的漏洞。解決的方法包括以風險為基礎的優先處理，利用以相關內容驅動的分析方法，在曝險出現之前就先行主動解決。
 
Sophos Managed Risk 特點


外部受攻擊面管理 (EASM)：對連接到網際網路的資產 (如網頁和電子郵件伺服器、Web 應用程式和使用公用 API 的端點) 進行進階的識別和分類
 
持續監控和主動通知高風險的曝險：當在企業連接到網際網路的資產中發現新的重大漏洞時主動通知
 
漏洞優先處理和識別新風險：迅速偵測高風險和零時差漏洞，並立即發出即時通知，以確保能及時識別、調查和按照重要性處理連接到網際網路的資產 

IDC 安全服務研究副總裁 Craig Robinson 表示：「企業改善安全狀態時的最大挑戰之一，就是安排優先處理順序。這種指引可以協助解決這個問題，減輕安全團隊處理漏洞和曝險管理的工作量。Sophos Managed Risk 等解決方案會是一個競爭優勢，使不堪負荷的團隊能夠採取更全面的方法來持續進行監控和威脅管理。」  
 
Sophos Managed Risk 是 Sophos MDR 的擴展服務之一，而 Sophos MDR 已在全球保護超過 21,000 家企業。Sophos Managed Risk 團隊均取得 Tenable 認證，他們會與 Sophos MDR 密切合作，共用零時差漏洞、已知漏洞和曝光風險的重要資訊，以評估和調查可能已遭入侵的環境。
 
Sophos Managed Risk 已經可從 Sophos 全球通路夥伴和託管式服務供應商 (MSP) 以購買期限授權的方式取得。Sophos MSP Flex 版本將於 2024 年推出。

      本文擷取自資安人

Sophos發布最新《Sophos 2024 年威脅報告》。根據該份報告， 2023 年 Sophos 針對中小企業的惡意軟體偵測中，近 50% 是鍵盤側錄程式、間諜軟體和竊取程式。攻擊者使用這些軟體來竊取資料和憑證，然後再利用竊取到的資訊進行未經授權的遠端存取、勒索受害者，以及部署勒索軟體等。

在這份報告中，Sophos 還分析了初始存取仲介 (IAB)，這是一群專門破解電腦網路的犯罪分子。如報告所示，IAB 正使用暗網來宣傳他們可以破解中小企業網路的能力和服務，或是出售已經破解的中小企業的即時存取權限。

Sophos表示，對網路犯罪分子而言，『資料』猶如貨幣，尤其來源是中小企業時，因為這些企業在運作時往往只會使用同一項服務或軟體應用程式。例如，假設攻擊者在鎖定的目標網路上放入一個竊取憑證的資料竊取軟體，然後取得了該公司會計軟體的密碼。此後，攻擊者就可以取得目標公司的財務狀況，並有能力將資金轉入自己的帳戶。

單是 2023 年向 Sophos 回報的所有網路攻擊中，超過 90% 和資料或憑證竊取有關，無論手法是透過勒索軟體攻擊、資料勒索、未經授權的遠端存取，還是簡單的資料竊取。
勒索軟體仍是中小企業最大的網路威脅
勒索軟體攻擊是中小企業面臨的最大網路威脅。在 Sophos Incident Response (IR) 處理的中小企業案例中，LockBit 是造成嚴重破壞的首要勒索軟體集團，Akira 和 BlackCat 分別排名第二和第三。此外，報告中研究的中小企業，還須面對一些持續存在和較冷門的勒索軟體攻擊，如 BitLocker 和 Crytox。

根據報告，勒索軟體營運者持續改變著勒索軟體的策略，包括利用遠端加密和鎖定託管服務提供商 (MSP) 進行攻擊。在 2022 年和 2023 年間，使用遠端加密的勒索軟體的攻擊量增加了 62%；這是指攻擊者使用受害者網路上未受管理的裝置來加密網路上其他系統的檔案。

此外，過去一年在 Sophos 託管式偵測和回應 (MDR) 團隊處理的案例中，發生了五起小型企業因 MSP 的遠端監控和管理 (RMM) 軟體出現漏洞而遭受攻擊的情形。

相關文章：ConnectWise ScreenConnect軟體出現嚴重漏洞！MSP服務提供商應留意供應鏈攻擊可能

攻擊者強化了社交工程和商業電子郵件詐騙 (BEC) 攻擊
根據 Sophos 這份報告，商業電子郵件詐騙 (BEC) 緊接在勒索軟體之後，是 Sophos IR 在 2023 年處理量第二高的攻擊。

這些商業電子郵件詐騙攻擊和其他社交工程手法變得越來越複雜。攻擊者不再只是傳送夾帶惡意附件的郵件，而是可能會透過傳送一系列對話郵件或甚至打電話來與目標互動。

為了避免被傳統的垃圾郵件防護工具偵測出來，攻擊者會嘗試使用新的格式來傳播惡意內容，包括嵌入包含惡意程式碼的圖片，或是以 OneNote 或壓縮檔的格式來傳送惡意附件。如在 Sophos 調查的一起案例中，攻擊者傳送了一份 PDF 檔，其中有一張模糊不清且無法閱讀的發票縮圖，而下載按鈕的連結則是連往一個惡意網站。

    本文擷取自資安人

Check Point Software Technologies Ltd.威脅情報部門 Check Point Research 發布《2024 年網路安全報告》指出遭勒索軟體公開的受害者增加 90%，而目前此類勒索軟體攻擊在所有 Check Point 偵測到的惡意軟體中佔一成。Check Point 事件回應小組（CPIRT）發現，將近一半的攻擊事件涉及勒索軟體，遭公開勒索的受害者飆升至約 5,000 位，較前一年增加一倍。
 
面對 2024 年的網路威脅，Check Point 指出企業須慎防的三大趨勢：

勒索軟體的演進：攻擊者已改變策略，透過零日漏洞，以全新手法增強勒索軟體即服務（RaaS）。此外，高價值目標逐漸成為攻擊焦點，顯示強大防禦機制的需求正同步攀升。 
針對邊緣裝置的攻擊升溫：針對邊緣裝置的攻擊呈現持續增長，突顯涵蓋所有網路元件全面安全措施的必要性。 
駭客激進主義的興起：國家支持的駭客激進主義不斷升級，與地緣政治衝突相關的網路攻擊顯著提升。利用毀滅性資料清除程式最大化攻擊影響範圍，彰顯了網路戰不斷演變的特性。 


台灣的網路攻擊報告
該份報告顯示，臺灣企業組織遭受網路攻擊的嚴重程度，遠高於全球平均水準。臺灣企業組織在過去6個月內，平均每週遭受2,930次網路攻擊，是全球平均每組織1,089次攻擊的2.7倍之多。政府/軍警類、製造業、學研單位是台灣前三大受攻擊的組織類型。
 
最常見的攻擊手法包括利用Formbook惡意程式、AgentTesla及Nanocore遠控程式、Ramnit銀行木馬以及Qbot殭屍網路程式等惡意軟體。這些惡意程式多數是透過電子郵件以附件或連結方式傳遞，佔有83%的比例。
 
另一個令人擔憂的數據是，69%的組織遭遇遠端程式碼執行漏洞攻擊，此類攻擊一旦成功，駭客可在受害系統執行任意程式碼，造成重大危害。



台灣網路攻擊狀況


此外，Check Point事件回應小組（CPIRT）也指出，勒索軟體攻擊是主要網路安全事件，比重高達46%。其次是企業電子郵件帳戶遭竊取的事件比例達19%、分散式阻斷服務攻擊(DDoS)事件達8%，反映企業防禦漏洞仍有改善空間。
 
Check Point Software 台灣區總經理劉基章表示：「面對不斷革新的網路犯罪，以及持續升溫的國家級資安威脅和駭客激進主義，組織必須作出調整；而這也是 Check Point 發展全新策略的目標，期盼藉由 AI 技術賦能、實現雲端交付，協助組織應對詭譎多變的威脅。」

產品及技術再進化 穩固組織防線
面對不停變化的安全威脅，Check Point 以 AI 技術賦能、實現雲端交付的發展策略運用在專為多變威脅所設計之 Check Point Infinity 平台，其擁有超過 50 款 AI 引擎的 Infinity ThreatCloud AI，提供業界即時威脅防禦，包含零日攻擊和釣魚攻擊，每年防範超過 30 億次攻擊；對於釣魚與惡意軟體攻擊的攔截率高達 99.8%。此平台亦提供基於雲端的安全情報，不到 2 秒即可共享即時的全球威脅情報。
 
Infinity 平台強調以預防為主的安全營運和統一管理，提供橫跨網路、雲端、物聯網、端點和行動裝置的完整威脅可視性，確保高效且全面的安全管理和營運。Check Point 近期將 AI 與雲端技術結合，推出首代 Infinity AI Copilot，提高安全團隊的工作效率與成效。
 
此外，Check Point 進一步強化其產品組合，推出 Check Point Quantum Spark 1900 和 2000，擴展針對中小型企業（SMB）的次世代防火牆系列。Check Point 亦宣布推出 Check Point Quantum Force 系列。此創新產品陣容由十款高效能防火牆組成，旨在滿足各種規模的企業資料中心、網路邊界、校園和企業的安全要求。



Check Point 產品線


 

       本文擷取自資安人

        ConnectWise ScreenConnect是一個由伺服器和用戶的應用程式端組成的遠端桌面解決方案。可以由雲端或本地進行部署。
 
上週ConnectWise公告修補完成CVE-2024-1709， CVE-2024-1708漏洞，這兩個漏洞影響23.9.7版及更早的版本。

CVE-2024-1709是一個身份驗證繞過漏洞，允許攻擊者在未修補的設備或服務上建立系統管理員帳戶，並用於惡意目的。
CVE-2024-1708是一個路徑穿越漏洞，允許攻擊者遠端執行程式碼。

ConnectWise公司已確認這兩個漏洞已遭攻擊者利用，目前推出了新的伺服器軟體版本：v23.9.10.8817和v22.4，所有用戶，包含不再維護的用戶，都可以獲得這兩個漏洞的修補程式 。
 
CVE-2024-1709的PoC公開後，惡意攻擊者開始針對易受攻擊的公開ScreenConnect伺服器，希望利用它們進入企業網路。

Mandiant已經確定多個威脅行為者正在大規模利用這些漏洞，其中許多攻擊已部署勒索軟體並進行多方面的勒索。

Sophos X-Ops表示，攻擊者遞送兩種不同的勒索軟體變體，都是由先前洩露的LockBit產生器生成。同時也發現透過ScreenConnect漏洞派送資料竊取器、RAT、蠕蟲、Cobalt Strike 載荷。
外媒報導，部分研究人員還發現了一些攻擊，涉及到加密貨幣採礦和建立SSH後門和持久反向Shell。

Sophos X-Ops強調，任何使用ScreenConnect的人都應立即採取措施隔離易受攻擊的伺服器和用戶端、修補它們並檢查是否有任何入侵跡象。Sophos有證據顯示攻擊者目前正對伺服器和客戶進行攻擊。修補伺服器不會刪除攻擊者在修補之前已經部署的任何惡意軟體或Webshell，管理者需要調查任何受入侵的環境。
 

       本文擷取自資安人

        Sophos揭露殺豬盤詐騙 (即精心策劃的交友型加密貨幣詐騙) 者如何利用類似的商業模式，透過在暗網上銷售詐騙套件，將網路犯罪即服務模式拓展到全球的其他地區。Sophos 在《加密貨幣詐騙轉移到新型態》一文中詳細說明了這些複雜的的交友詐騙模式。這些新套件均源自中國的組織型犯罪集團，提供了進行去中心化 (簡稱「DeFi」) 儲蓄的特定交友詐騙所需的技術工具。

犯罪分子會將 DeFi 儲蓄詐騙包裝成類似於貨幣市場帳戶的被動型投資，鎖定的目標通常是那些不了解加密貨幣的人。受害者預期他們只要將加密錢包連結到一個「經紀帳戶」，就可以從投資中賺取巨額利息。事實上，受害者是將他們的加密錢包連結到詐騙加密貨幣交易池中，然後詐騙分子會將其清空。

Sophos表示，這種交友詐騙首次出現於新冠病毒流行期間，當時詐騙的技術還相對原始，騙子需要花費許多功夫和指導才能成功騙到受害者。現在，隨著詐騙變得更容易得手，詐騙分子也改進了他們的手法。

殺豬盤詐騙與過去勒索軟體和其他類網路犯罪出現類似的演變：那就是 「即服務」的模式。詐騙集團正在開發現成的 DeFi 應用程式套件，其他網路犯罪分子只要從暗網就能買到這些應用程式套件。結果是，泰國、西非甚至美國等地區，都出現了與中國組織型犯罪集團無關的新的交友詐騙集團。

「即服務」的模式提供工具包降低了其他交友詐騙分子的進入門檻，並大大擴大了受害對象。去年，單是交友詐騙的規模已達數十億美元；遺憾的是，這個問題今年還會變得超級嚴重。

Sophos X-Ops 兩年來一直持續追蹤交友詐騙的演變。最早期的詐騙 (被 Sophos 稱為「CryptoRom」騙局) 是透過交友應用程式與潛在受害者聯繫，然後說服他們從第三方來源下載假的加密貨幣交易應用程式。對於 iOS 用戶來說，這些騙局會要求受害者下載一個精心設計的應用程式，使詐騙者能夠繞過受害者裝置上的安全防護並使用他們的電子錢包。

2022 年，詐騙分子繼續改進他們的作法。這次他們找到了繞過應用程式商店審核流程的方法，將其詐騙應用程式上架到合法的 App Store 和 Google Play 商店。今年還出現了新的詐騙模式：假的加密貨幣交易池 (流動性挖礦)。 

2023 年，Sophos X-Ops 發現了兩個大型交友詐騙集團，一個位於香港，一個位於柬埔寨。這些集團使用合法的加密貨幣交易應用程式，然後創造一些精心設計的假身分來引誘受害者，並從他們身上竊取數百萬美元。進一步調查顯示，交友詐騙集團正在試圖將人工智慧新增到他們的工具箱中。

2023 年底，Sophos X-Ops 發現了一個大型流動性挖礦騙局，其涉及到三個不同的中國組織型犯罪集團，鎖定了近 100 名受害者。在調查該行動期間，Sophos X-Ops 首先注意到出現了交友詐騙套件。

在 Sophos X-Ops 最近調查的交友詐騙中，詐騙分子掃除了先前的所有技術障礙，並顯著減少了從受害者竊取資訊所需的社交手動工程操作。在 DeFi 儲蓄騙局中，受害者現在是透過合法且知名的加密貨幣應用程式進行假的加密貨幣交易，讓他們允許詐騙者在不知不覺中直接使用他們的錢包。此外，詐騙分子還可以隱藏被盜錢包的洗錢網路，使執法部門更難以追蹤詐騙。

Sophos 認為DeFi 儲蓄騙局是交友詐騙分子兩年來集其技術大成的結晶。詐騙分子再也不用說服受害者下載一些奇怪的應用程式，或是將加密貨幣轉移到即將被竊的數位錢包中了。
避免成為交友詐騙犧牲者
為了避免成為交友詐騙的受害者，Sophos 建議採取以下措施：


對透過 Facebook等社交網站或簡訊來聯繫的陌生人保持懷疑，尤其是當他們想快速將對話轉移到 WhatsApp 等私人通訊工具時


這一點也適用於交友應用程式上的成功匹配，尤其是當對方開始和你談論加密貨幣交易時


對任何承諾在短時間內獲得巨額回報的「快速致富」計畫或加密貨幣投資機會時時保持戒心
熟悉交友騙局和投資騙局的誘惑和策略。CyberCrime Support Network (CSN) 等非營利組織擁有可以提供幫助的資源
任何認為自己成為交友詐騙受害者的人應立即從受影響的錢包中提出所有資金，並聯繫執法單位。