Sophos 發現許多勒索軟體集團蓄意發動遠端加密攻擊

Sophos 是創新和提供新一代網路安全即服務的全球領導者，今天發布一份《CryptoGuard：一種非對稱的勒索軟體防禦方式》報告。報告指出，一些最活躍且影響幅度大的勒索軟體集團，包括 Akira、ALPHV/BlackCat、LockBit、Royal 和 Black Basta 等，均會蓄意在攻擊時進行遠端加密。在遠端加密攻擊 (也稱為遠端勒索軟體) 中，攻擊者會利用已經遭入侵且通常保護不足的端點，對連線到同一網路的其他裝置進行資料加密。

Sophos CryptoGuard 是 Sophos 在 2015 年收購的反勒索軟體技術，已整合到所有 Sophos 端點授權中。CryptoGuard 會監控惡意加密檔案的行為，提供即時保護和回復原功能，即使勒索軟體本身未出現在受保護的主機上也能加以防禦。這種獨特的反勒索軟體技術是 Sophos 多層式端點保護的「最後一道」防線，只會在攻擊者在攻擊鏈中觸發時才會啟用。自 2022 年以來，CryptoGuard 偵測到的蓄意遠端加密攻擊年增率達 62%。

Sophos 威脅研究副總裁兼 CryptoGuard 共同開發者 Mark Loman 表示：「企業可能有成千上萬台連線到公司網路的電腦，而在遠端勒索軟體中，只要一台設備保護不足，就足以危及整個網路。攻擊者知道這一點，所以他們會尋找『弱點』下手，而大多數公司中都至少有一個。遠端加密將是防禦人員必須持續面對的問題，而且根據我們所看到的警示，這種攻擊方法正在穩定增加。」

這類攻擊涉及遠端檔案加密，傳統部署在遠端裝置上的反勒索軟體保護無法「看到」惡意檔案或其活動，因此無法阻止未經授權的加密和潛在的資料外洩。不過，Sophos CryptoGuard 技術採取創新的方式來阻止遠端勒索軟體，正如 Sophos X-Ops 文章所解釋的：分析檔案內容，檢查是否有任何資料被加密，以便在網路的任何裝置上偵測出勒索軟體活動，即使該裝置上沒有惡意軟體。

在 2013 年，CryptoLocker 是第一個大量使用遠端加密和非對稱加密 (也被稱為公開金鑰加密) 的勒索軟體。從那時起，由於全球組織普遍存在安全漏洞以及加密貨幣出現，攻擊者更頻繁地使用勒索軟體了。

Loman 表示：「10年前，當我們首次注意到 CryptoLocker 利用遠端加密時，我們就預見到這種手法將成為防禦人員的一大挑戰，而其他解決方案都只專注於偵測惡意二進位檔案或執行的動作。在從遠端加密的情況下，惡意軟體是存在於一台未受保護的電腦，而非檔案被加密的電腦。唯一阻止它的方式是監視並保護這些檔案。這就是為什麼我們研發了 CryptoGuard。

「CryptoGuard 並不會尋找勒索軟體；相反地，它把重心放在主要目標，也就是檔案。它會對文件進行數學運算，偵測其是否被竄改和加密。值得注意的是，這種獨立作業的策略刻意不依賴入侵指標、威脅特徵、人工智慧、雲端查找結果或先前的情報，以達到預期效果。透過專心監控檔案，我們可以改變攻擊者和防禦者之間的平衡。我們讓攻擊者成功加密資料的成本和複雜性增加，讓他們放棄原本的目標。這是我們非對稱防禦策略的一部分。

「遠端勒索軟體對組織來說是一個重要的問題，也是勒索軟體長期存在的原因之一。由於透過連線讀取資料要比從本機磁碟讀取慢，我們看到像 LockBit 和 Akira 等攻擊者會策略性地僅加密每個檔案的一小部份。這種方法的目的是在最短時間內造成最大的破壞，進一步縮小防禦人員察覺攻擊並做出反應的空窗期。Sophos 的反勒索軟體技術可以阻止遠端攻擊，以及這類僅加密檔案的 3% 的攻擊。我們希望提醒防禦人員注意這種持續的攻擊方法，讓他們能夠適當地保護裝置。」

如需了解更多資訊，請到 Sophos.com 閱讀《CryptoGuard：一種非對稱的勒索軟體防禦方式》。

• CryptoGuard 是 HitmanPro 的一部分，最初由荷蘭商 SurfRight 開發

• Sophos 於 2015 年 12 月收購 SurfRight

• Sophos 於 2016 年將 HitmanPro 整合到 Sophos Intercept X 端點保護中

了解更多資訊

• 《2023 年勒索軟體現況》報告，同時提供醫療、教育、金融和零售等行業版本

• 從勒索軟體威脅情報中心了解不同的勒索軟體威脅行為者、他們的 TTP 以及 Sophos 的最新勒索軟體研究

• 《2023 年給安全從業人士的主動攻擊者報告》中防禦人員如何在快速變化的威脅環境中對抗攻擊者

• 《2023 年給科技領袖的主動攻擊者報告》中有關攻擊者行為和技巧的變化和減少的滯留時間。

• 從根據 Sophos 事件回應案例的分析結果撰寫的《2023 年給企業領袖的主動攻擊者報告》，了解攻擊者的行為、技術和策略的改變。

• 訂閱 Sophos X-Ops 部落格了解 Sophos X-Ops 及其開創性的威脅研究

• 在 LinkedIn 上關注 Sophos 的威脅情報通訊

• 從 Sophos 新聞頁面完整取得 Sophos 的最新消息

關於 Sophos

Sophos 是先進網路安全解決方案的全球領導者和創新者，提供託管式偵測和回應 (MDR) 和事件回應服務，以及可幫助企業抵禦網路攻擊的多種端點、網路、電子郵件和雲端安全產品組合。作為最大型的純網路安全供應商之一，Sophos 保護全球超過 50 萬個組織和超過 1 億個使用者免受主動攻擊者、勒索軟體、網路釣魚、惡意軟體等的攻擊。Sophos 的服務和產品可經由雲端式 Sophos Central 管理主控台連線，並由旗下跨領域威脅情報部門 Sophos X-Ops 提供支援。Sophos X-Ops 情報會最佳化整個 Sophos 自適應網路安全生態系統，包括一個提供一整組開放式 API 的集中式資料湖，可供客戶、合作夥伴、開發人員和其他網路安全和資訊技術廠商使用。Sophos 為需​​要完全託管、一站式安全解決方案的組織提供了網路安全即服務，客戶還可以使用 Sophos 的安全營運平台直接管理網路安全，或是採用混合式作法，利用 Sophos 的服務來補強自己的內部團隊，包括威脅捕獵和補救措施。Sophos 透過全球經銷商合作夥伴和託管服務供應商 (MSP) 進行銷售。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。