Sophos 2023 年威脅報告揭示網路罪案漸趨商業化 犯罪分子利用新型勒索軟件發動攻擊及加倍竊取憑證牟取暴利

Sophos 2023 年威脅報告揭示網路罪案漸趨商業化

犯罪分子利用新型勒索軟件發動攻擊及加倍竊取憑證牟取暴利

勒索軟件攻擊繼續成為企業最大的網路威脅之一

Sophos為旨在提供創新網絡安全即服務的全球領導廠商，今天發布最新《Sophos 2023 年威脅報告》，並於報告內詳細分析商業化的網路威脅如何為潛在攻擊者提供有利的攻擊環境，同時指出網路犯罪即服務（cybercrime-as-a-service）擴展大幅降低網路犯罪的技術門檻。此外，報告一方面揭示攻擊者正持續利用不同的勒索手法，令勒索軟件繼續成為企業最大的網路威脅之一，同時分析憑證持續遭竊取的原因。

一直至今，攻擊者能於Genesis 等地下犯罪市場購買惡意軟件、「惡意軟件即服務（malware-as-a-service）」，以及大量竊取憑證和數據的技術。在過去十年間，隨著勒索軟件變得普及，令「勒索軟件即服務」的技術快速增長。直至今年，此類「即服務」的運作模式再度擴大，令攻擊者幾乎能輕易掌握網路犯罪工具套件的每項功能，包括：系統初始感染至躲避偵測的方法。

Sophos 首席威脅研究員 Sean Gallagher 表示：「目前相關平台並非只出售惡意軟件、詐騙和網路釣魚工具套件等的基本攻擊工具，過往只有資深攻擊者所採用的工具和功能都能一一於平台上購買。在過去一年內，我們看到 OPSEC 即服務（OPSEC-as-a-service）的廣告，而賣家會協助攻擊者隱藏 Cobalt Strike 入侵的蹤跡。另外，我們亦留意到掃描即服務（scanning-as-a-service）的興起，讓買家可利用如 Metasploit 等合法的商業工具，以尋找可用的安全漏洞。由於可見，現時網路犯罪幾乎每個部分都正在商品化，令任何能力和類型的攻擊者都能發動網絡攻擊。」

隨著「即服務」經濟持續擴展，地下網路犯罪市場變得越來越商業化，情況就如同主流企業的運作模式一樣。出售網路犯罪技術的賣家不僅會宣傳他們的服務，更會公開招聘具有獨特技能的攻擊者。在部分市場當中，賣家會提供專門的工作需求頁面，而「求職者」亦會對外張貼履歷，以宣傳他們的技能和資歷。

Sean續指：「由於早期的勒索軟件經營者採用中心化的營運模式，令其發展過程受到一定的限制，並由小組成員分別執行攻擊的各個層面。然而，隨著勒索軟件變得非常有利可圖時，不法分子開始尋找擴大生產規模的方法。他們開始外包部分業務，建立出一個完整的基礎架構來支援勒索軟件。現時，其他網路犯罪分子已看到成功例子並加以仿效。」

事實上，隨著網路犯罪基礎架構正不斷擴展，加上獲利豐厚，所以令勒索軟件仍然非常流行。在過去一年中，勒索軟件經營者持續針對 Windows 以外的平台以擴展攻擊服務，並利用Rust 和 Go 等新系統語言躲避偵測。加上，Lockbit 3.0等團體亦持續開發新的業務項目，令更多受害者遭新手法所勒索。

另外，Sean強調：「當分析逐漸複雜的地下犯罪行為時，我們必須把目光延伸至勒索軟件的領域。例如，現時惡意軟件開發組織Lockbit 3.0推出漏洞獎勵計畫，期望集結犯罪社群的協作能力，以改善自身惡意軟件的問題，從而提升運作效能。此外，勒索軟件已成一門生意，部分團體則改用『訂閱模式』來對外提供外洩數據，而其他團體則把數據進行拍賣。」

隨著地下經濟不斷發展，加上竊取憑證是新手犯罪分子投身地下市場的最簡單方法之一，不僅刺激了勒索軟件和「即服務」的發展，亦導致憑證遭竊取的情況增加。隨著 Web 服務日益進步，各類憑證 （尤其是 cookie） 可透過不同的形式進入網路，並於系統內取得更深入的立足點，甚至可繞過 MFA （Multifactor Authentication）的偵測。

此外，Sophos亦發現以下趨勢：

• 烏克蘭戰爭對網路威脅形勢構成全球性影響－當入侵行動展開後，大量牟利的詐騙活動即時暴增。基於民族主義，烏克蘭和俄羅斯間的犯罪聯盟出現變動，而情況於勒索軟件附屬組織之間尤其明顯。

• 多變的攻擊模式－犯罪分子繼續利用合法的可執行檔，以寄生攻擊 （LOLBins） 發動各類型的攻擊，包括勒索軟件。在部分情況下，攻擊者可利用「自帶驅動程式」攻擊，以部署合法但有存有弱點的系統驅動程式，並試圖停用端點偵測和回應產品，從而躲避系統偵測。

• 行動裝置為新型網路犯罪核心－除了攻擊者會製作虛假的應用程式以植入惡意軟件、間諜軟件和金融惡意軟件外，近年的網路詐騙形式亦出現不同的型態，例如「殺豬盤」加密詐騙。這種犯罪不只會影響 Android 使用者，也影響 iOS 用戶。
• 門羅幣攻擊－門羅幣為現時最受加密貨幣投資者歡迎的工具之一。自從貨幣遭貶值後，相關的加密犯罪活動亦驟減。然而，挖礦惡意軟件仍可利用 Windows 和 Linux 系統上的自動化「殭屍程式」繼續向外散播。

有關2022 年正不斷變化的威脅形勢，以及對 2023 年安全團隊的影響，請參閱完整的《Sophos 2023 年威脅報告》。

《Sophos 2023 年威脅報告》涵蓋 Sophos X-Ops團隊的研究和分析結果。Sophos X-Ops為嶄新的跨業務部門，並融合Sophos 三個網路安全專家團隊，包括：SophosLabs、Sophos SecOps 和 Sophos AI。Sophos X-Ops團隊由全球 500 多位網路安全專家所組成，他們具備獨特的能力，可以為日漸複雜的威脅環境提供完整且跨學科的觀點。若要了解更多日常網路攻擊和 TTP 資訊，歡迎關注團隊的Twitter並訂閱 Sophos X-Ops，以取得來自第一線網路安全的最新威脅研究和安全操作文章和報告。