2023年第二季度勒索軟件趨勢：亞太地區勒索軟件攻擊事故顯著增加，多重勒索持續流行，勒索軟件不斷進化

亞太地區勒索軟件攻擊事故顯著增加

針對亞太地區的勒索軟件攻擊事故數量顯著增加。根據網絡保安公司Check Point的研究，於2023年第二季度，全球每44個組織中便有一個組織遭受勒索軟件攻擊^[1]，而亞太地區的受攻擊數量相較於2022年同期更增加了29個百分比^[1]，顯示勒索軟件攻擊呈現上升趨勢。政府/軍事部門、醫療保健行業和教育/研究行業更是遭受勒索軟件攻擊次數最多的行業^[1]。此外，公用事業、保險/法律和顧問機構受勒索軟件攻擊次數也有顯著增加^[1]。美國加州一家連鎖醫院近日更因勒索軟件攻擊而被迫暫停大部分資訊科技服務，影響17間醫院及166間診所服務^[2]。因此，相關行業及機構應該加強網絡安全措施以保護自身。

多重勒索持續流行

根據網絡保安公司Palo Alto Networks Unit 42的研究，截至 2022 年底，平均約 70% 的勒索軟件案例發生數據盜竊。與 2021 年中期相比數字顯著增加，當時平均只有約 40% 的勒索軟件案例發生數據盜竊^[3]。另外，根據網絡保安公司Cisco Talos的研究，與 2023 年第一季度相比，2023 年第二季度的數據盜竊勒索個案數量大幅增加了 25%^[4]。可見多重勒索持續及數據盜竊有上升趨勢。在這種類型的攻擊中，勒索軟件團伙會勒索受害者組織，如果不支付贖金，就會在暗網上洩露被盜數據。

而最近，夏威夷社區學院更向勒索軟件團伙支付贖金以防止數據洩露^[5]，勒索軟件團伙收到贖金後雖然已將相關機構條目從數據洩露網站中刪除，但無法排除可能將來會繼續勒索受害者或洩露數據。

勒索軟件推陳出新不斷進化

知名的勒索軟件團伙和勒索軟件服務供應商LockBit近期推出了針對蘋果macOS設備的勒索軟件變種^[6]。根據網絡安全公司Uptycs的研究發現，勒索軟件服務供應商Cyclops開發了可感染三個主要操作系統（Windows、Linux和macOS）的勒索軟件^[7]。這表明勒索軟件團伙越來越多地以不同的系統為目標。另外，有一種新的勒索軟件Cactus會利用VPN設備的漏洞來獲取受害組織的網絡初始訪問權限及感染受害組織裝置，而Cactus與其他勒索軟件不同之處在於會對勒索軟件自身進行加密^[8]。通過對自身進行加密，使其可以逃避防毒軟件和網絡監控工具的檢測，使它能夠繞過這些安全措施並在不被發現的情況下進行惡意活動。

根據網絡安全公司Cisco Talos和Vmware的研究，2023年第二季度出現了兩個新的勒索軟件活動，分別為8Base和MoneyMessage^[4][9]。8Base最早於2022年三月被發現，從2023年六月開始活動急劇增加。8Base利用客製化的Phobos勒索軟件進行數據盜竊及文件加密勒索，而Phobos勒索軟件是在地下市場以勒索軟件即服務（RaaS）的形式販售^[4][9]。而MoneyMessage勒索軟件活動於2023年三月首次被發現，與8Base類似其採用相同的雙重勒索模式^[4]。鑑於勒索軟件活動的不斷增加，我們必須積極採取措施來減輕勒索軟件攻擊帶來的風險。

積極利用產品漏洞進行攻擊

不同的勒索軟件團伙正積極利用產品漏洞來竊取數據。例如，Bl00dy、Clop和LockBit勒索軟件被發現針對PaperCut、GoAnywhere MFT和MOVEit Transfer等產品漏洞發起攻擊，以竊取數據或將其用作橫向傳播的跳板^{[10][11][12][13]}。 其中，PaperCut是一種廣泛應用於企業和教育機構的打印機和文檔管理解決方案，而GoAnywhere MFT和MOVEit Transfer是一種企業級文件傳輸和協作平台，提供安全的文件傳輸和共享功能。

採取措施加強防禦

勒索軟件不斷進化，攻擊者不僅關注不同操作系統，還在不斷開發新的技術和手段來規避檢測和加強攻擊效果。這對網絡安全和數據保護構成了重大挑戰，更突顯組織和個人在加強安全意識和採取有效的防護措施的迫切性和重要性。

本中心建議用戶及系統管理員應保持警惕並採取適當的防護措施：

一般用戶：

1. 定期更新和升級系統和應用程序，包括操作系統和防病毒軟件；
2. 定期更改密碼，及使用多因素身份驗證（MFA）來增加帳戶的安全性；
3. 定期備份重要文件和數據，並將備份存儲在離線和加密的位置；
4. 定期進行網絡安全培訓，以了解最新網絡威脅及提高員工識別網絡攻擊的能力。

系統管理員：

1. 儘量减少擁有特權訪問權限（如網域的管理權限）的用戶數量，以限制攻擊範圍及影響。日常的操作亦只應使用沒有特權訪問權限的普通賬戶；
2. 加強網絡基礎架構，減少暴露於互聯網當中的端點；
3. 安裝終端保安解决方案，可以檢查電郵和網絡內容中的惡意下載內容，檢測和隔離惡意程式碼，以防止感染惡意軟件；
4. 架構網絡威脅情報平台^[14]，以追蹤最新的威脅，並與同行組織交流信息，預先阻止新出現的攻擊；
5. 設置網絡監控和保安檢測，一旦發現任何異常的網絡活動，立即進行事故響應。

如想了解更多詳情或保安建議，可參考保安博錄「揭開網絡犯罪服務的神秘面紗：數碼便利的陰暗面」 或 《中小企保安事故應變指南》。

參考資料

[1] https://blog.checkpoint.com/security/average-weekly-global-cyberattacks-peak-with-the-highest-number-in-2-years-marking-an-8-growth-year-over-year-according-to-check-point-research/

[2] https://www.bankinfosecurity.com/california-hospital-chain-facing-ransom-service-disruption-a-22741

[3] https://unit42.paloaltonetworks.com/multi-extortion-rise-ransomware-report/

[4] https://blog.talosintelligence.com/talos-ir-q2-2023-quarterly-recap/

[5] https://www.bleepingcomputer.com/news/security/hawaii-community-college-pays-ransomware-gang-to-prevent-data-leak/

[6] https://www.bleepingcomputer.com/news/security/lockbit-ransomware-encryptors-found-targeting-mac-devices/

[7] https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo

[8] https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/

[9] https://blogs.vmware.com/security/2023/06/8base-ransomware-a-heavy-hitting-player.html

[10] https://www.bleepingcomputer.com/news/security/fbi-bl00dy-ransomware-targets-education-orgs-in-papercut-attacks/

[11] https://www.bleepingcomputer.com/news/security/microsoft-clop-and-lockbit-ransomware-behind-papercut-server-hacks/

[12] https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/

[13] https://www.bleepingcomputer.com/news/security/goanywhere-mft-zero-day-vulnerability-lets-hackers-breach-servers/

[14] https://www.hkcert.org/tc/blog/hkcert-and-cybersec-infohub-fully-support-open-threat-intelligence-campaign