雲集企業資安專家,探討網絡安全趨勢與發展,Palo Alto Networks今年將傳統於美國主辦的《Ignite On Tour》首次移師大中華區巡迴舉辦,而香港站活動已於上周圓滿結束。活動上Palo Alto Networks香港及大灣區董事總經理馮志剛Wickie接受傳媒訪問,引用公司旗下Unit 42近日發表《勒索軟件回顧部落格及2024年事故應變報告》的發現,指出全球2022至2023年的多重勒索軟件攻擊,按年激增近五成(49%)。而當中香港金融服務和物流業,是去年最受勒索軟件針對攻擊的行業,反映黑客將攻擊目標集中至部分不能隨便停運核心關鍵基礎系統的企業。他又表示留意到網絡犯罪分子愈來愈趨向採用AI的協助,令企業由被入侵至盜取資料的時間,可以縮短至一日內完成,情況令人憂慮。
全球勒索軟件 LockBit群組最活躍
了解哪些活躍的勒索軟件群組,有助預判他們的犯罪手法。Unit 42在回顧勒索軟件時,研究了來自勒索軟件群組的3,998個洩密網站帖文。洩密網站是散播威脅群組使用的平台,他們在此公開披露被盜竊資料來脅逼受害人支付贖金。Wickie表示去年在全球3,998個洩密網站帖文當中,LockBit群組最為活躍,共發表了928個洩密網站帖文,佔全球總數23%。「LockBit亦是亞太及香港地區最活躍的群組,另外去年發現的新興勒索軟件網站最少有25個,其中以Akira領先。」他又表示洩密網站帖文數字的增長,可以歸因於針對MOVEit Transfer SQL Injection和GoAnywhere MFT等漏洞的零日攻擊所致。
銀行和金融服務機構手執大量珍貴數據,自然成為多重勒索軟件犯罪集團的熱門目標。調查結果顯示香港仍然面對很多關鍵弱點,各大機構必須優先提升網絡安全、加強防衛。「威脅布局不斷演變,勒索軟件的攻擊力度也日益強大,加上被盜竊資料被公開披露的風險,還有散播威脅群組有能力因應科技和戰術的不斷改變而隨機變陣。」他續指黑客會透過AI加快整個入侵至盜取過程,由2021年平均用上9日,縮短至去年僅2日。「45%的事件更快達至一日內完成,另外隨著企業數碼轉型,電商、雲端等部署日增,黑客利用網絡面漏洞的攻擊也增加39%,情況令人憂慮。」他強調企業要及早應對,包括轉用零信任網絡架構以及採用基於大量準確數據支持的AI就緒安全操作。
多種敲詐手段 務求得益最大化
報告又顯示,在2022年所有初始接入事故中有三分之一為網絡釣魚,此份額在2023年已降至17%,顯示網絡犯罪分子可能已轉用技術更先進或可能更有效的滲透手法。Palo Alto Networks香港及大灣區系統工程主管鄭志輝Felix認為,技術更高明的威脅散播者已由傳統和互動的釣魚行動,轉投較難發現甚至有可能自動化的方法,用以入侵系統弱點和現存的憑證漏洞。「勒索軟件和威脅群組的適應力愈來愈高,他們可以找到很多新的攻擊方法,情況繼續令香港以至全球憂慮。我們看到市場出現了正面的轉變,就是有更多企業委聘事故應變團隊,這可能是平均贖金支付額下跌三分之一的原因;更多威脅群組也因而傾向盡早獲取利益,而不再等待受害人支付更大筆贖金。」
報告還闡述了其他主要發現:
- 手法更精密的威脅散播者採用不同方法獲取初始接入:利用軟件和API漏洞的情況明顯增加。2023年,在初始接入中利用此類漏洞的個案,由2022年的28.20%增加至38.60%。
- 威脅散播者無差別盜取數據:在93%的事故中,威脅散播者無差別取走數據而沒有搜尋特定資料;2022年只有81%的個案涉及非針對性的數據盜竊,2021年更只有67%屬同類情況。比例急增反映網絡犯罪分子似乎多加採用更大規模的漁翁撒網方法,收集他們可以讀取的任何數據,而不是花費精力來尋找和擷取特定數據集。
- 採用多種敲詐手段,務求令得益最大化:雖然與勒索軟件相關的侵擾和其他敲詐手段比率,在過去數年保持穩定,但自2021年起,最終有支付贖金個案中的侵擾比率,卻跳升了27倍。
- 索價趨高、支付走弱:於2023年,索取贖金的中位數由650,000美元增升至695,000美元(上升3%),但支付中位數則從350,000美元跌至237,500美元(下跌32%)。這有可能因為機構會召喚有能力談判的事故應變團隊,而這是以往較少有的做法。