勒索軟體攻擊手法再進化，中小企業與零售業成主要目標

2025 / 10 / 03

編輯部

勒索軟體持續是企業面臨的最大資安威脅。根據安聯人壽(Allianz)發布的 2025 年網路安全韌性報告，駭客攻擊目標正在從防禦嚴密的大型企業轉向較易受侵害的中小型公司。資料顯示，中小企業遭遇的資安事件中有 88% 涉及勒索軟體，而大型企業僅佔 39%。2025 年上半年，勒索軟體仍是大型資安理賠的主因，佔所有超過 100 萬歐元理賠案件的 60%。

資料竊取與社交工程成為主流攻擊手法

駭客的攻擊策略正在轉變，不再只依賴加密檔案，而是更專注於資料外洩。對攻擊者而言，竊取資料不僅更省力，還能更有效地迫使受害者支付贖金。去年全球資料外洩事件平均造成近 500 萬美元的損失，再加上日益嚴格的隱私法規和潛在訴訟風險，企業面臨的財務風險正持續攀升。

員工現已成為駭客最易突破的入口點。社交工程、網路釣魚和商業電郵詐騙仍然是常見手法，而生成式 AI 的出現使這些詐騙手段更具說服力。

目前，憑證竊取已成為最普遍的攻擊途徑。駭客組織 Scattered Spider 就是典型案例，他們透過假冒技術支援電話和憑證濫用，能在短短 24 小時內，從簡單的帳號接管迅速進展到完整的勒索軟體部署。

BBC 記者遭勒索軟體集團招募為內部威脅

Medusa 勒索軟體集團試圖收買媒體人員作為內部威脅。外媒揭露，該組織透過加密通訊應用程式 Signal 聯繫他，要求利用工作筆電入侵 BBC 內部網路，並承諾給予贖金的 15% 作為報酬。自稱「Syndicate」的駭客聲稱，若成功入侵 BBC 系統，可能索取數千萬美元贖金，Tidy 將獲得至少 15% 分成。對方後來更提高報酬至 25%，並在駭客論壇提供 0.5 比特幣（約 5.5 萬美元）作為預付款。

Medusa 是一個自 2021 年 1 月開始活動的勒索軟體組織，以雙重勒索攻擊聞名，並於 2023 年推出專屬勒索入口網站。美國網路安全暨基礎設施安全局 (CISA) 3 月的報告指出，Medusa 已對美國關鍵基礎設施發動超過 300 次攻擊。當駭客嘗試誘使 Tidy 執行惡意腳本時，面對記者的拖延戰術，攻擊者轉而發動多因素驗證轟炸(MFA Bombing)，透過自動化登入嘗試產生大量驗證請求。Tidy 立即通報 BBC 資安團隊，並預防性地切斷與組織網路的連線。幾天後，該駭客刪除了其 Signal 帳號。

延伸閱讀：轉型為勒索服務營運後，梅杜莎集團攻擊量大幅攀升

新興威脅 Warlock 迅速崛起，攻擊手法高度複雜

資安研究人員警告，名為 Warlock 的勒索軟體組織正迅速崛起。根據資安業者 Sophos 的詳細報告，這個被 Sophos 追蹤為「Gold Salem」、被 Microsoft 稱為「Storm-2603」的組織，可能是近年來「最令人擔憂的新變種」。自 2025 年 3 月首次被發現以來，Warlock 已入侵超過 60 個組織。該組織採用多種複雜攻擊手法，包括：利用自訂的 ToolShell 鏈條攻擊 SharePoint 漏洞、使用 Velociraptor 等合法工具建立隱密通道、部署 Mimikatz 竊取憑證，以及透過 PsExec、Impacket 與群組原則物件(GPO)散布勒索軟體。

Warlock 的攻擊目標遍及全球各產業與國家，但刻意避開俄羅斯與中國的組織。在超過 60 個已知受害者中，Warlock 聲稱已將 27 個（約 45%）的竊取資料售予私人買家，而只有 32% 的案例涉及公開資料外洩。

零售業成攻擊主要目標，防禦準備與快速應變是關鍵

2025 年上半年，零售業已成為網路攻擊的首要目標。自 2020 年以來，零售業遭受的攻擊損失僅次於製造業和專業服務業，由於擁有大量個人資料及複雜的供應鏈，零售業成為駭客的理想目標。報告也指出，供應鏈中斷正逐漸成為理賠案件的新興來源，即使組織內部控管完善，仍可能因供應商遭受服務中斷或資料外洩而受到嚴重影響。

技術故障與隱私疏失在理賠案件中的比例也持續攀升，去年美國便發生超過 1500 件隱私相關訴訟。儘管威脅情勢嚴峻，安聯人壽的分析卻顯示投保企業有明顯的正面發展。2025 年上半年，整體理賠嚴重程度下降超過 50%，超大型理賠案件數量減少約 30%。多數案例證明，基本控制措施，如修補程式、網路區隔、資料備份與多因素驗證(MFA)等能有效限制損害範圍。

特別值得注意的是，早期偵測與快速應變可將損失降低高達 1000 倍。報告強調桌面演練(Tabletop Exercise)與營運持續計畫對提升企業韌性至關重要。