根據 Cyble 於 2025 年 7 月發布的威脅態勢報告,亞太地區的勒索軟體攻擊正快速升級。
攻擊者不再只是加密系統索取贖金,而是系統性地竊取敏感資料、在地下市場販售網路存取權限,並公開受害者資訊。
印度成為這波攻擊的主要目標。Warlock 勒索軟體組織近期洩漏一家印度製造商的敏感資料,包含員工記錄、財務報表和人資檔案。同時,兩家印度企業 (一家科技顧問公司和一家 SaaS 供應商)的客戶資料、付款憑證和伺服器使用記錄被放上暗網。更嚴重的是,一家印度電信業者的基礎設施管理權限在地下市場以 3.5 萬美元販售。
從區域來看,泰國、日本和新加坡是勒索軟體攻擊最頻繁的國家,印度和菲律賓次之。製造業、政府機關和關鍵基礎設施成為主要目標。值得注意的是,親印度駭客組織 Team Pelican Hackers 聲稱入侵多個巴基斯坦機構並洩露學術和行政資料,顯示
網路犯罪已超越金錢動機,成為地緣政治角力的工具。
Akira 勒索軟體鎖定 SonicWall 設備發動攻擊
資安專家警告,Akira 勒索軟體組織正利用 SonicWall 設備作為攻擊入口。自 2025 年 7 月底 Akira 恢復活動後,針對 SonicWall 設備的入侵事件大幅增加。
攻擊者主要利用
CVE-2024-40766 漏洞發動攻擊。這是一個 CVSS 評分高達 9.3 的嚴重漏洞,存在於 SonicWall 的 SSL VPN 設定中。該漏洞會導致系統遷移後本地使用者密碼未重設,為攻擊者提供入侵管道。
SonicWall 已確認惡意行為者正透過暴力破解方式嘗試取得未授權存取。公司建議管理者立即啟用殭屍網路過濾(Botnet Filtering)功能以封鎖已知的惡意 IP 位址,並執行嚴格的帳號鎖定政策。此外,Barracuda 的 SOC 威脅雷達報告指出,亞太地區針對 VPN 基礎設施和 Microsoft 365 帳號的攻擊大幅增加。攻擊者採用 Python 腳本規避偵測,並在目標網路中維持持續性存取。
繞過多因素驗證的進階攻擊手法
儘管一個月前已釋出修補程式,但亞太地區許多組織尚未部署更新,使其持續暴露在風險中。Akira攻擊者已能攔截一次性密碼(OTP)並利用先前竊取的憑證產生有效的工作階段權杖,即使在已修補的網路上也能成功繞過多因素驗證(MFA)。
為了提升攻擊的隱蔽性,攻擊組織經常部署合法的遠端監控管理工具來停用資安軟體、清除備份,並阻礙修復作業。澳洲和其他亞洲國家都出現持續性的攻擊活動,顯示修補管理不當、使用遺留帳號和高權限憑證未定期更換等問題持續擴大風險。
製造業成為主要攻擊目標
- 製造業是亞太地區最常遭受攻擊的產業,超過 40% 的網路事件都與之相關。研究人員認為原因在於該產業擁有複雜的供應鏈、依賴過時技術,且營運網路中存有高價值的專有資料和智慧財產權。
- 金融和保險業約佔 16% 的攻擊。攻擊者透過精密的網路釣魚活動和惡意軟體入侵高價值系統,不僅竊取客戶和付款資訊,還維持持續性存取以進行長期偵察。
- 運輸業則佔約 11%。由於該產業高度依賴遠端連線和第三方數位基礎設施,成為攻擊者意圖破壞物流和營運持續性的目標。
在亞太地區,網路犯罪分子同時追求營運破壞和財務利益。資料竊取仍是最常見的攻擊結果,包括商業機密、客戶記錄和機密企業資訊。攻擊者通常透過資訊竊取惡意軟體取得憑證,進而執行後續入侵和橫向移動。此外,勒索手法也在演變,許多攻擊者轉向非加密型勒索方式來脅迫受害者。
建議採取的防護措施
- 建立以威脅情資為基礎的防禦策略,持續監控勒索軟體組織和初始存取經紀人(Initial Access Broker)的戰術、技術與程序(TTP)
- 現代勒索軟體攻擊常在漏洞公開後數小時內就開始利用,建議實施敏捷的修補管理
- 對 IT 和服務台等高權限角色的員工進行持續的社交工程防護訓練,因為社交工程仍是最常見的攻擊手法
- 採用「預期遭入侵」的思維,透過網路區隔、不可變更的資料備份和嚴格測試過的事件回應計畫來強化韌性
- 加強政府、民間部門和資安社群的協作,建立早期預警系統和集體回應能力
- 實施零信任架構並定期進行滲透測試,在攻擊者利用漏洞之前找出弱點
資安專家強調,在數位轉型加速的時代,從供應鏈到雲端環境都必須整合「設計安全」(Security by Design)的概念。將資安視為推動因素而非合規作業,企業才能在面對持續且複雜的勒索軟體威脅時,不僅降低風險,更能建立數位信任和營運韌性。
本文轉載自 CySecurityNews。