Sophos報告｜身份攻擊成主流　黑客組織爭做龍頭

網絡安全解決方案供應商 Sophos 發布《2026 年 Sophos 活躍黑客報告》。報告顯示，三分之二的安全事件源於身份相關漏洞、黑客多在非辦公時間發動攻擊。此外，隨 Lockbit 因執法行動而逐漸失去主導位置，越來越多黑客組織乘勢而上，爭奪「龍頭」位置。

《2026 年 Sophos 活躍黑客報告》分析了 2024 年 11 月 1 日至 2025 年 10 月 31 日期間處理的 661 宗事件應對（Incident Response， IR）及託管式偵測與回應（Managed Detection and Response， MDR）案例，涵蓋 70 個國家及 34 個行業的機構。

報告指出，上述團隊調查的所有事件中，有 67% 來自身份相關攻擊，黑客持續利用已被盜用的憑證、無效的多重驗證（Multi-factor Authentication， MFA），以及防護不足的身份系統，通常無需使用新工具或技術。

報告重點：

1．攻擊手法由利用網絡安全漏洞轉為入侵憑證。而初始入侵手段方面，暴力破解活動（15.6%）與漏洞利用（16%）比例相若

2．潛伏時間中位數縮短至三天，反映黑客行動節奏更快，也顯示防禦方的反應更迅速，此情況在 MDR 環境中尤為顯著

3．黑客更快速進入活動目錄（Active Directory，AD）。黑客入侵機構後，僅需 3.4 小時即可進入 AD 伺服器

4．勒索軟件攻擊集中於非辦公時間。88% 的勒索軟件於非辦公時間發動攻擊；79% 的數據外洩在非辦公時間發生

5．缺乏遙測數據削弱網絡安全防禦能力。因數據保留因素而導致紀錄缺失的情況較去年增加一倍。此增長主要源於防火牆設備，其預設保留期一般只有七天，部分更短至 24 小時

身份攻擊加劇　MFA 漏洞持續存在

報告顯示，源於身份入侵的攻擊持續上升，包括憑證被盜、暴力破解活動及釣魚攻擊。雖然保安漏洞仍是其中一個因素，但黑客愈來愈依賴有效帳戶來獲取初始存取權限，令他們能夠繞過傳統邊界防禦。其中，59% 的案例中缺乏 MFA，令被竊取及入侵的憑證更容易被濫用，以滲透機構網絡。

威脅組織增加　風險擴大

Sophos 研究人員於報告中觀察到有紀錄以來上最多的活躍威脅組織，令整體環境更危險，並增加了追查及歸因的難度。

1．Akira（GOLD SAHARA）和 Qilin（GOLD FEATHER）是最活躍的勒索軟件，而 Akira 在 22% 的事件中為主導因素

2．51 個勒索軟件出現於案例中，包括 27 個再度出現的及 24 個新的勒索軟件

3．自 2020 年首份活躍黑客報告數據以來，僅四個勒索軟件 — LockBit、MedusaLocker、Phobos及 BitLocker 的濫用— 持續存在

Sophos 全球資訊安全總監兼報告首席作者 John Shier 指出，LockBit 的活動因持續的執法行動，過去的主導地位和聲譽已明顯受到影響，意味著越來越多其他組織爭奪主導地位，並出現更多新興組織。對防禦方而言，了解這些組織及其策略、技術和程序（Tactics、Techniques、Procedures，TTP）至關重要，以達至最有效的防護。

AI 炒作與現實的差距

儘管外界普遍預期 AI 會改變黑客攻擊手法，但 Sophos 並未發現相關證據。雖然生成式 AI 令釣魚及社交程式攻擊更快更精密，但尚未產生根本性的新攻擊技術。

Shier 表示：「AI 確實提升了攻擊的規模和干擾，但尚未取代黑客。雖然未來的生成式 AI 可能成為新動力，但目前仍需重視基礎：強化身份保護、確保可靠的遙測數據，以及在出現問題時能夠快速應對。」

防禦建議

根據《2026 年活躍黑客報告》的研究結果，Sophos 建議機構及企業採取以下措施：
1．部署具抗釣魚能力的 MFA 並驗證其設定
2．減少身份基建及面向互聯網服務的暴露風險
3．及時修補已知漏洞，尤其是邊緣設備
4．透過 MDR 或同樣方案確保全天候監控
5．保存並妥善保留安全日誌，以支援快速偵測和調查