亞太攻擊數暴增168%！趨勢科技拆解勒索病毒集團Nefilim，這些合法工具成駭客幫凶

疫情肆虐，網路攻擊更是甚囂塵上！全球網路安全商Check Point今（10）日發表研究指出，與去年同期相比，亞太區整體於5月的網路攻擊數量驟增168%，且其中增幅最大的惡意軟體類型是勒索軟體和遠端存取木馬（RAT）。而資安龍頭趨勢科技 也針對知名勒索病毒集團Nefilim發表研究報告，分析最新勒索病毒攻擊手法與預防手段。

趨勢科技指出，從2020年3月至2021年1月所研究的16個勒索病毒集團當中，已知受害者數量最多的四大集團分別為：Conti、Doppelpaymer、Egregor及REvil。而竊取資料最多的是Cl0p集團，前後共5TB資料存放上線上。

而此次公開報告的Nefilim，則是專門攻擊營收10億美元以上的企業，是勒贖獲利中位數最高的勒索病毒集團。 如報告中指出，Nefilim的攻擊通常包含以下幾個步驟：

• 突破防線：利用登入憑證強度上的弱點，攻擊暴露在外的RDP服務，或對外的HTTP服務。
• 一旦潛入企業，就利用合法工具在網路內部橫向移動，尋找高價值系統，然後竊取資料並將資料加密。
• 利用Cobalt Strike以及一些可穿越企業防火牆的網路通訊協定（HTTP、HTTPS、DNS）來建立回傳及掌控機制。
• 採用防彈主機代管服務來架設幕後操縱（C&C）伺服器。
• 竊取重要資料，並威脅將資料公布至TOR網路的網站上，以此勒索受害者。Nefilim去年大概發布了2TB的資料。
• 當竊取資料累積到一定數量，駭客就會手動啟動勒索病毒程式並加密檔案。

趨勢科技先前就曾提出警告，一些合法的工具將廣泛遭到駭客利用，如： AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec以及MegaSync ，這些工具不僅將成為勒索病毒攻擊的幫兇，更會讓駭客不容易被發現。而這對於通常各自負責不同環境的SOC（資安營運中心）分析師來說更是個挑戰，由於看到的事件記錄不同，很難掌握威脅的全貌並察覺攻擊的存在。

趨勢科技表示，最新勒索病毒家族的犯案手法，讓原本就已疲於奔命的資安營運中心（SOC）和IT資安團隊，更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽，更影響到SOC團隊日常維運。

此外，根據Check Point的研究，2021年4月至5月期間，亞太區的網路攻擊增加了53%，其中台灣排名亞太區第五，增加17%；目前平均每間企業每週遭到1,245次攻擊。

因Covid-19疫情關係，近期亞太地區開始實施新一波的居家辦公計畫，意味著攻擊者有更多的安全漏洞可以利用。而這當中，「滾雪球效應」也是其中一項攻擊事件增加的重要原因，當亞太地區的網路攻擊成功機率越高，就有越多的攻擊者鎖定該區域。

而上個月（2021年5月份），增幅最的的產業，就屬公用事業，占比39%、網路服務供應商／託管服務供應商為第二，占比12%，再來則為軟體業（6%）。至於地區排名，則以日本第一、新加坡居次、印尼第三，而台灣則排名第五。

同時，針對一般消費者，Check Point也提供8項建議以利確保安全上網：

• 檢查收件匣中完整電子郵件地址，並注意拼寫錯誤的超連結。
• 確認網址的真實性：建議不要直接點擊電子郵件中的網址，應使用Google 搜尋結果頁面中的連結。
• 警惕相似的網域名稱：注意電子郵件或網站中的拼寫錯誤以及陌生郵件。
• 採用進階網路安全解決方案防護行動裝置及終端裝置的網頁瀏覽，以防使用者誤入已知或未知的網路釣魚網站。
• 當帳戶資訊或電匯指示出現任何變化時，採用雙重身份驗證。
• 切勿將登錄憑證或個人資訊回傳至簡訊或電子郵件。
• 定期檢視自身財務帳戶。
• 即時更新所有軟體及系統。

責任編輯：蕭閔云