Kroll：專業服務業遭勒索軟件攻擊按季升57%

風險和財務諮詢解決方案獨立供應商德安華 (Kroll) 發表《2023年第一季威脅形勢報告》，發現網絡攻擊方法持續演變，黑客組織越見分裂。報告指出，專業服務業遭受網絡攻擊的比率大增，2023年第一季專業服務業遭受勒索軟件攻擊佔比按季上升57%，「一次性」獨立黑客攻擊數字大增。

行業分析：專業服務業成主要攻擊目標

在2023年第一季，Kroll觀察到專業服務業遭受網絡攻擊的比率較2022年第四季度增長57%，佔所有個案的22%。勒索軟件持續肆虐為主要成因，尤以律師行為首，在第一季受到較多的勒索及密碼攻擊。

律師行在今季明顯遭受攻擊。Kroll觀察到有威脅者利用GOOTLOADER惡意軟件進行搜尋引擎優化中毒攻擊，模式與2022年後期出現的黑客利用Google Ads散播惡意軟件類似。受GOOTLOADER感染一般會導致大規模敏感資料外洩，在某些情況下，更會遭受具規模黑客組織的勒索威脅。因此，搜尋標準合約及範本的法律專業人士往往成為黑客搜尋引擎優化中毒攻擊的針對目標。

獨立黑客仿效具規模的勒索軟件即服務組織

勒索軟件在2023年第一季仍然是最具影響力的網絡攻擊類型，佔Kroll本季所有網路威脅個案的30%，其次是商務電子郵件入侵（26%）。儘管LOCKBIT等臭名遠播的「勒索軟件即服務」（RaaS）組織繼續主宰勒索軟件領域，但「一次性」、鮮為人知的獨立黑客使用勒索軟件發動攻擊的個案佔比就大幅增加56%。這些獨立黑客中既有全新的黑客，亦有潛伏數季而未被察覺的組織。

Kroll亞太區網絡風險管理董事總經理鄭國誠（Paul Jackson）表示：「『一次性』勒索軟件變體的數量上升，意味著平日已非常忙碌的網絡安全團隊現在除了要防範主要的勒索軟件即服務組織外，亦需要抵禦大幅增加的獨立黑客攻擊。這增長可能源於不同勒索軟件即服務組織的解散或分裂，亦有可能反映規模較小的黑客比以往更容易部署勒索軟件。大型黑客組織解散或許是一個好消息，但Kroll於2023年第一季觀察到的孤狼式攻擊或組織的分裂情況清楚表明，失之毫釐，差之千里，企業不能懷有錯誤的安全感。孤狼式攻擊與『成熟』的黑客組織相比，攻擊模式較多變，可信度亦較低，無論是攻擊行動及談判都更難推測，因此亦無法保證被攻擊者在支付贖金後就能獲得密鑰。」

報告中的其他亮點包括：

• 獨特勒索軟件變體有所增加，包括CACTUS、DARKSKY及NOKOYAWA等全新變體，以及其他為人熟知但潛伏數季而未被察覺的變體，如XORIST及RANSRECOVERY。
• Kroll於本季偵測發現SLIVER的使用有所上升。由於該工具的開放及開源，Kroll預測SLIVER及其他類似的架構將繼續被黑客廣泛使用。
• Kroll亦指出，網絡入侵攻擊持續增加，當中大部分個案更針對零售業，明顯是為了經濟利益。
• 所有網絡攻擊初始入侵方式中，網絡釣魚持續大行其道，較其他攻擊手段更為常見。

鄭國誠補充：「網絡釣魚仍然是黑客主要的網絡攻擊初始入侵方式。因此，安排員工持續進行網絡安全培訓，並設立有效的端點防護部署，是企業防範網絡攻擊的第一步。無論黑客如何入侵網絡，均會使用洩露工具。偵測資料洩露並迅速回應能夠將資料外洩的影響減到最低，避免發生災難性事件，這也是被植入勒索軟件前最後的偵測手段之一。企業應時常保持警惕，透過利用合適的技術並與可信的網絡安全夥伴合作，抵禦網絡威脅。」