近年勒索軟體不僅案件增加,攻擊節奏也明顯加快。攻擊者開始大量使用攻擊性工具,並透過竊得或濫用有效帳密,以「登入而非入侵」的方式繞過偵測。
過去勒索行動多以加密資料為主,如今已轉向以「資料外流威脅」為主軸。手法也從雙重勒索快速演變為三重勒索,甚至直接聯絡受害者個人施壓,以提高付款機率。
最新一波變化的重點在於速度。多家資安廠商觀察到,攻擊者持續研究如何繞過端點偵測與回應(EDR),並利用 AI 加快資料竊取與情蒐的效率。Halcyon 於 2026 年的調查顯示,多數企業已部署 EDR,但受訪者中僅約四分之一真正信任它能對抗持續演變的勒索威脅,同時有超過七成認為 AI 讓勒索攻擊更有效。
在實務案例上,資安專家指出,
醫療等場域仍有大量老舊設備,因無法安裝或不適合部署 EDR,反而成為攻擊者優先鎖定的目標。攻擊面也從過去依賴惡意程式家族與載入器,逐步轉向釣魚、暴力破解、濫用外網設備漏洞,以及資訊竊取程式等手法。只要取得一組可用的帳密,就能直接進入內網並橫向移動,快速搬走資料。
Arctic Wolf 在 2026 年威脅報告中也提到,勒索事件在其事件應變(IR)案件中的占比接近一半。攻擊者分工更細,並以自動化縮短攻擊鏈。另一個被點名的風險是過度授權帳號。一旦攻擊者取得高權限身分,就可能在短時間內擴大橫向移動範圍。
AI 也正在提升攻擊品質。NCC Group 指出,2025 年全球勒索攻擊年增達 50%。
攻擊者除了用 AI 進行目標研究與漏洞情蒐,也開始使用深偽語音詐騙,模仿主管或同事的聲音,繞過傳統身分驗證流程。
在勒索生態系方面,其結構更為分散。過去由少數大型勒索服務(RaaS)與載入器集團主導,如今則出現大量改名、分支與工具拼裝的情況,甚至有人使用外洩的勒索建置器自行上線。執法行動也改變了版圖。 LockBit 3.0 受打擊後,Qilin 等組織聲勢上升;也出現假冒知名勒索團體與「入侵洩密站」的詐騙情境,使談判與鑑別變得更困難。
防護建議
防禦端仍需回到基本功與提升可視性。資安業者建議,
企業應清楚掌握資料位置與存取權限,並將風險溝通提升至管理階層與預算決策層,才能在工具堆疊之外補足治理缺口。
- 強化身分與存取管理(IAM),定期盤點並移除過度授權帳號
- 落實多因素驗證(MFA),並監測異常登入與憑證濫用
- 盤點無法部署 EDR 的老舊設備,採分區隔離與最小權限策略,降低橫向移動風險
- 建立事件應變(IR)與通報流程,並預先演練勒索談判與資料外洩處置
本文轉載自 DarkReading。