【頭號威脅】暗網RaaS持續演變 勒索軟件變種上半年增長近倍

網絡保安服務方案供應商 Fortinet 發表今年上半年 FortiGuard Labs 《全球威脅型態報告》，認為勒索軟件依然是頭號威脅，期內發現的勒索軟件變種，較去年下半年多達一倍。

調查更發現最少七種主要的「新型惡意清除軟件變種」，利用惡意程式清除磁碟，攻擊政府、軍事和私人組織，數字不但驚人，而且在烏克蘭以外的 24 個國家亦偵測到。

焦點數據：
－ Mirai 在香港仍然肆虐，並利用 Lock4Shell 漏洞廣泛傳播
－勒索軟件透過 RaaS 持續演變，產生更多變種
－惡意清除軟件成為攻擊套件的一部分傳播，反映破壞性威脅正持續增長
－網絡不法分子正採用更多偵測和防禦規避技術，以提升網絡攻擊鏈的精準度及武器化的破壞力

《全球威脅型態報告》發表的觀點由 FortiGuard Labs 集體情報匯集而成。Fortinet 以大量的傳感器收集今年上半年全球數十億宗威脅事件。MITRE ATT&CK 框架把攻擊手段及技術分類，當中首三類別為偵測、資源開發及初始接觸，FortiGuard Labs 的全球威脅型態報告採用類似方式，描述攻擊者如何針對漏洞、建立惡意基礎設施，以及利用目標對象。報告亦涵蓋全球及區域的觀點，以及影響營運科技（OT）與資訊科技（IT）的威脅趨勢。

香港方面，FortiGuard Labs 發現， Mirai、Gh0st Rat 和 Bladabindi 是三大主要的殭屍網絡，其中 Mirai 利用 Log4Shell 漏洞來進一步傳播。Log4Shell 漏洞自 2021 年被發現後便一直被不法分子廣為利用，以進行遙距代碼執行。

同時，FortiGuard Labs 檢測到 Apache 的 Spring 框架漏洞在今年第二季被廣泛利用。雖然該漏洞在特別環境下才會被觸發，但由於該框架獲眾多 Java 開發者使用，加上不法分子可能有其他方式利用漏洞，情況令人憂慮。

勒索軟件依然是頭號威脅，半年間一共發現 1.07 萬種勒索軟件變種，相比去年下半年僅有 5,400 種，增長幅度幾乎達 100%。網絡不法分子持續投放大量資源於全新的攻擊技術，反映犯罪生態的演變。而在暗網流行的「勒索軟件即服務」（Ransomware-as-a-Service，RaaS），則繼續助長犯罪行業威脅組織支付贖金。

要防範勒索軟件，各行各業大小規模的組織均需積極應對。即時的可視性、防禦性、以及結合零信任網絡存取（ZTNA）和進階終端偵測及回應（EDR）的修正都是關鍵。

OT及IT成為攻擊目標

由於攻擊面持續擴展，加上 OT 與 IT 不斷融合，網絡不法分子亦會從中物色機會，使 OT 和 IT 環境亦成為吸引的目標，如通過應用於隨處工作的終端設備，獲取權限入侵企業網絡，各裝置和平台都經歷了猛烈的攻擊。

很多利用終端漏洞發動的入侵，往往涉及未經授權用戶獲取系統存取權限，以進行橫向移動以更深入接觸企業網絡，例子包括錄得大量數目的欺詐攻擊漏洞 CVE 2022-26925，以及遠程代碼執行漏洞 CVE 2022-26937。此外，從終端漏洞的偵測以及數量分析可見，網絡不法分子嘗試全面利用新舊漏洞獲得存取權限。

進階的終端技術可在攻擊的早期階段緩解風險，並有效修復受感染裝置，而透過數碼風險保護服務（DPRS）等服務，亦可進行外部層面的威脅評估、尋找和修復安全問題，以及獲取當前及將發生威脅的詳細洞見。

「新型惡意清除軟件變種」數字驚人

今年初烏克蘭戰爭爆發，更使針對關鍵基礎設施的攻擊者，大量地利用惡意程式清除磁碟。其更具破壞力和更精密的攻擊技術，徹底清除數據，情況令人擔憂。

報告中提到，今年首六個月已發現最少七種主要的「新型惡意清除軟件變種」，並用於針對政府、軍事和私人組織的攻擊活動，與 2012 年起公開檢測到的惡意清除軟件變種相若，數字相當驚人。而惡意清除軟件並不局限於單一地方，在烏克蘭之外亦在其他 24 個國家偵測到。

網絡偵測及回應（NDR）及具備自我學習的人工智能（AI）可更有效偵測入侵，將惡意清除攻擊的影響降至最低，同時非本地及離線備份亦是不可或缺。

由於威脅型態時刻演變，網絡安全意識與培訓亦同樣重要，以確保員工和安全團隊緊貼最新情況。組織需要能以機械速度運作的安全操作，以確保有能力應付當今網絡威脅的數量、精密度及速度。

FortiGuard Labs 安全洞察及全球威脅聯盟負責人 Derek Manky 表示：「要應對進階而精密的攻擊，組織需要可獲取即時威脅情報、偵測威脅型態，並將大量數據互相關聯的綜合安全方案，以識別異常情況及自動在混合網絡環境中作出協調的回應。」