遙距勒索軟件攻擊肆虐 黑客借檔案加密避過偵測

遙距勒索軟件攻擊肆虐　

黑客借檔案加密避過偵測

勒索軟件為當前最具破壞力的網絡安全威脅之一，而各大公營機構及企業則有機會面臨嚴重風險。根據政府數字政策辦公室的最新數據，本港於過去三年共錄得40宗安全事故，當中約有一半與勒索軟件攻擊有關，反映本地網絡安全風險正持續上升。隨着黑客的手法漸趨精密，攻擊亦變得高度隱蔽且具高破壞力，令企業於網絡防禦上面臨前所未有的挑戰，形勢不容忽視。

2023年底，Sophos X-Ops團隊發現遙距加密攻擊有着顯著增長，而研究亦指黑客將集中攻擊受病毒感染且欠缺端點防護的系統，並同時加密同一網路中其他裝置上的數據。

上述趨勢於2024年持續惡化，而遙距勒索軟件攻擊較去年激增50%，較2022年的升幅更突破141%，反映攻擊狀況不但有增無減，更以前所未見的速度與規模擴散，對資訊安全領域構成嚴峻挑戰。

參考上圖，遙距加密攻擊於2022年及2023年上半年相對較少，但情況則於2023年下半年開始顯著上升。雖然其後曾出現一定波動，但整體情況仍然保持高水平。

遙距勒索軟件攻擊持續上升

雖然遙距加密並非新興攻擊手法，但由於該技術能繞過不少傳統端點防護工具，現時已獲眾多勒索軟件集團採用。同時，往往黑客的加密攻擊均於系統的監察範圍外發動攻擊，所以記憶體掃描或行為監控等恆常偵測技術則難以發現，從而令攻擊的成功率節節上升。

根據 Microsoft 於2023年發布的《數碼防禦報告》，發現約六成由人手操控的勒索軟件攻擊均涉及遙距加密，而當中八成的入侵源頭則來自未受管理的裝置，而今年的報告進一步指出有七成成功的攻擊涉及遙距加密。

Sophos 全球首席駐場技術總監 Chester Wisniewski 表示：「遙距加密已成為勒索軟件集團的常規攻擊手法之一，尤其大部分機構於網絡安全上均存在盲點，令黑客易於發現漏洞並迅速入侵。因此，企業必須保持高度警覺，並全面檢視其網絡安全策略，加強偵測與監控可疑系統活動。」

預防遙距勒索軟件攻擊的建議

為提升企業對遙距勒索攻擊的防禦能力，Sophos 建議企業採取以下措施：

• 加強資產管理：定期追蹤所有裝置和端點，以及早識別系統漏洞或未經授權的存取行為。
• 偵測未受管理的裝置：持續掃描網絡中存在的非註冊或未受控設備，防止成為黑客入侵的途徑。
• 使用可監察檔案活動的安全方案：部署具備即時監控檔案功能的工具，以便及早偵測異常或可疑行為。
• 保持良好網絡安全習慣：包括設置高強度密碼、定期更新系統、啟用多重身份驗證（MFA）及加強員工網絡安全意識。

如欲進一步了解如何防範遙距勒索攻擊，可觀看以下影片：Sophos Endpoint 如何透過 CryptoGuard 阻截遙距勒索攻擊: https://www.youtube.com/watch?v=eihGJtfzD_k