前言

最近，竣盟科技發現了一個新的最新的數據洩露網站（Data Leak Site, DLS）「RALord」，這是 2025 年 3 月內發現的 14 個新 DLS 之一。該勒索軟體即服務（Ransomware-as-a-Service, RaaS）團隊展現出高度組織化的運營模式，提供聯盟計畫、數據贖金機制及暗網廣告等多種服務。據了解，該團隊至少活躍於一個網路犯罪論壇，主要負責人使用者名為「ForLord」。

截至 2025 年 3 月底，尚無證據顯示 RALord 與其他已知威脅行為者有直接關聯。然而，該團隊聲稱其勒索軟體並非全新產品，而是建立在過往 RaaS 經驗的基礎上，因此不排除其與名稱相近的「RAWorld」（亦稱「RAGroup」）有潛在聯繫。目前，RAWorld 的 DLS 已失效，且自 2024 年 12 月後未再公佈新受害者。此外，RALord 也可能僅是借用 RAWorld 的名稱，以利用其既有聲譽來建立可信度。

值得注意的是，RALord 的已知受害者清單中，首度出現來自台灣的企業，該企業為知名連鎖餐飲品牌，成為台灣首例公開曝光的受害者。這表明 RALord 正積極拓展其攻擊範圍，並將亞洲市場納入目標。

關鍵要點

• RALord DLS 於 2025 年 3 月下旬首次出現，首名受害者（工程與工業服務公司）於 3 月 22 日被列出。截至 3 月 28 日，該網站已公開三名受害者。
• 該團隊運營 RaaS 計畫，聯盟成員可獲取 85% 的勒索贖金分成，而 RALord 則抽取 15%。
• RALord 提供多種服務，包括 數據販售、Tor 網站廣告、一次性加密工具銷售（無需訂閱 RaaS 計畫）。
• RALord DLS 上的所有受害者均未曾出現在其他已知勒索軟體組織的洩露名單中。
• RALord 可能與 RAWorld 或其他已建立的勒索軟體團隊有關聯，但目前無確鑿證據證明。

背景分析

勒索軟體團隊通常利用 DLS 來增加對受害者的壓力，典型模式包含：

1. 初步威脅：在 DLS 上公開受害者名稱，聲稱已成功入侵。
2. 證據展示：若受害者未支付贖金，攻擊者可能上傳內部檔案結構截圖、個資樣本或其他敏感文件，以證明持有機密數據。
3. 倒數計時：設置期限，威脅若受害者不付款，將公開或出售全部數據。

RALord DLS 詳細分析

RALord DLS 於 2025 年 3 月下旬上線，支援俄文與英文，網站包含多個核心區塊：

• 主頁：列出受害者清單。
• 受害者專頁：顯示企業名稱、業務類別、被盜數據類型，部分受害者頁面還附有數據樣本。
• 倒數計時器：顯示資料公開或出售的時間點。
• 聯絡方式：提供 Tox 和 Session ID 以利匿名聯繫。
• RaaS 服務：詳細介紹聯盟計畫、數據仲介與廣告機制。
• 支付指南：支援 BTC、XMR、LTC 等加密貨幣交易，甚至接受部分銀行轉帳，並提供仲介機制（Escrow）降低交易風險。

RaaS 計畫與加密服務

RALord 聲稱其開發的勒索軟體具備「反偵測」能力，攻擊者可單次支付 €200 獲取使用權，若成功勒索贖金，RALord 會抽取 10% 分成。此外，將受害者資訊發佈至 RALord DLS 需額外支付 €20。

該團隊亦提供 RaaS 計畫，利潤分成為 85:15，聯盟成員負責滲透，而 RALord 則負責執行加密攻擊。與 Anubis（80:20）或 RansomHub（90:10）相比，RALord 提供較高的分成比例，吸引更多聯盟成員參與。

此外，RALord 積極尋求 初始存取經紀人（IABs） 合作，降低技術門檻並提高攻擊效率。

受害者分析

截至 2025 年 3 月底，RALord 已公開以下受害者：

• 法國：École Centrale de Nantes（工程學校）
• 阿根廷：Tomio Ingeniería S.A.（工程與工業服務公司）
• 巴西：IHARA（農業化學產品製造商）
• 台灣：台式知名連鎖餐飲品牌（首例台灣受害者）

受害者主要分布於南美洲、歐洲與亞洲，顯示 RALord 正在快速拓展其攻擊目標。

額外情報

消息來源顯示，法國資源中心 Sémaphore Mulhouse Sud Alsace 可能亦為受害者，但尚未出現在 RALord DLS，推測該機構仍在與攻擊者談判。

威脅評估

截至 2025 年 3 月底，RALord 已曝光多名受害者，但尚無受害者公開證實攻擊事件。然而，其提供的數據樣本與詳盡資訊，使攻擊活動的真實性較高。

該組織可能與 RAWorld 或其他勒索軟體團隊存在關聯，但目前無明確證據證實。考量其在短短 7 天內曝光 3 名受害者的節奏，RALord 似乎仍在積極運作，未來可能持續擴展影響範圍。

資安專家建議

1. 企業應加強勒索軟體防禦機制，包括端點防護、定期備份及網路安全監控。
2. 提高勒索軟體意識培訓，強化內部員工對網路釣魚與社交工程攻擊的認識。
3. 持續監測暗網活動，掌握新興 RaaS 威脅，以便提前部署防禦策略。

RALord 的出現，進一步印證了勒索軟體威脅的持續進化，且其攻擊範圍已擴展至亞洲市場。企業與機構應密切關注，並採取主動防禦措施，以降低潛在風險。

RAlord的部分入侵指標(Indicator of compromise IOCs):
be15f62d14d1cbe2aecce8396f4c6289

概述

NightSpire 是一個以財務利益為動機的網路威脅組織，針對多個產業的企業進行攻擊。該組織最初專注於竊取敏感數據並進行勒索或轉售，然而近期的活動顯示，他們已轉向雙重勒索模式，結合數據竊取與勒索軟體加密來最大化對受害者的壓力。這種轉變顯示出該組織的適應能力與不斷成熟的運營策略。

商業模式演變

NightSpire 最近的攻擊顯示，其策略已從純粹的數據勒索轉變為結合勒索軟體加密的混合模式。目前尚不清楚該組織是以封閉模式運營，還是採取勒索軟體即服務（RaaS）的模式，允許成員加盟攻擊並共享利潤。

根據暗網活動的證據，NightSpire 可能正試圖擴展規模。2025 年 3 月 14 日，一名代號為「xdragon128」的威脅行為者在 BreachForum 上發佈招聘訊息，尋找談判專家，並提供 20% 的利潤分成。這可能表明該組織正在強化其勒索談判策略。然而，目前尚無證據顯示 NightSpire 正在尋找新的加盟者來執行攻擊，如典型的 RaaS 模式那樣。

該組織運營著一個暗網洩露網站，於 2025 年 3 月 12 日 首次被發現。他們利用該網站公開受害者資訊，並威脅完全洩露數據，以強迫受害者支付贖金。

目標選擇（受害者分析）

自 2025 年 3 月以來，NightSpire 已聲稱對至少 11 家企業發動攻擊。其中，36% 的攻擊針對製造業。然而，其攻擊模式顯示，目標選擇具有一定的隨機性，並非專注於特定產業。

值得關注的是，受害企業中有 73% 為中小型企業（SME），即員工人數少於 1,000 人。這可能與中小企業普遍較為薄弱的網路安全防禦有關，使其成為較易受攻擊的目標。此外，根據暗網洩露的數據，已有兩家台灣企業遭受 NightSpire 攻擊並被列入其名單。

攻擊戰術、技術與程序（TTPs）

初始入侵

NightSpire 主要利用外部邊界設備的漏洞進行攻擊，例如 防火牆 和 虛擬私人網路（VPN）。該組織曾利用 CVE-2024-55591，這是一個 FortiOS 的零日漏洞，允許未授權攻擊者獲取 Fortigate 防火牆設備的超級管理員權限，無需提供合法憑據。攻擊者利用此漏洞後，可以更改設備配置，建立持久訪問，並進一步橫向移動至受害者內部網路。

數據竊取

NightSpire 在攻擊中使用合法的檔案傳輸工具，例如 WinSCP 和 MEGACmd，以進行數據外傳。這些工具可幫助攻擊者隱藏惡意活動，讓數據流量看起來與正常業務操作無異，從而規避檢測。

規避防禦

該組織運用 外部工具 及 「本地二進位執行技術（LOLBins）」，即利用受害者系統內原生工具進行惡意操作。例如：

• 網路掃描器 用於偵察內部環境。
• 內建 FTP 客戶端 用於數據外傳。
• PowerShell 腳本 執行攻擊指令，避免觸發傳統安全防禦機制。

勒索策略與贖金要求

NightSpire 採取高度侵略性的勒索策略，包括：

• 勒索網站施壓：迅速將受害者資訊公佈在其暗網洩露網站上。
• 極短的付款期限：受害者收到勒索信後，可能僅有 兩天 內付款。
• 針對性騷擾：該組織曾直接向受害企業員工發送勒索郵件，施加額外壓力。
• 公開羞辱不付款者：其網站上的 We Say 版塊列出了未支付贖金的受害者，並發布受害企業名稱、數據洩露公告，甚至提供免費下載連結。

然而，NightSpire 在數據洩露策略上的不一致性，表明該組織缺乏標準化的運營模式，仍處於發展階段。

網路安全專家觀點與應對策略

1. 應對不可預測的攻擊者

NightSpire 的行為模式符合典型的新興勒索軟體組織——策略多變、運營不成熟、攻擊方式不可預測。與高度專業化的勒索組織相比，他們可能不按照傳統模式行動，使事件應對變得更加複雜。因此，資安團隊需要保持靈活性，結合傳統勒索談判策略與應對不規則行為的方案。

2. 強化威脅情報應用

威脅情報（Threat Intelligence, TI）在以下方面發揮關鍵作用：

• 識別攻擊指標（IOCs），提前發現潛在攻擊。
• 分析攻擊者策略，提高檢測與防禦能力。
• 加速事件應對，有效縮短調查與復原時間。

企業應將情報驅動的 IOCs 整合至 安全資訊與事件管理（SIEM） 及 端點偵測與回應（EDR） 工具中，以主動攔截與抑制 威脅。

3. 從歷史案例汲取經驗

雖然 NightSpire 尚處於成長階段，但過去勒索軟體攻擊經驗可提供寶貴的應對指導：

• 定期備份：維護 離線與不可變更備份，確保數據可恢復。
• 漏洞管理：CVE-2024-55591 的被利用再次證明即時漏洞修補的重要性。
• 強化端點防護：採用 行為式偵測技術，防範 LOLBins 技巧與橫向移動攻擊。

結論

NightSpire 是一個快速演變的勒索軟體威脅，其技術能力與勒索策略日趨成熟。企業應採取 多層次防禦策略，包括 持續監控、完善事件應對計劃、威脅情報導向的防禦措施，以有效降低攻擊風險並提升整體資安韌性。

NightSpire 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

35cefe4bc4a98ad73dda4444c700aac9
f749efde8f9de6a643a57a5b605bd4e7

近期，資安專家發現一個名為 Mora_001 的新興駭客組織正在利用 Fortinet 產品中的漏洞進行攻擊，並與惡名昭彰的 LockBit 勒索軟體組織有關聯。

安全研究人員指出，Mora_001 正在利用影響 Fortinet FortiGate 防火牆設備的兩個漏洞——CVE-2024-55591 和 CVE-2025-24472。美國 網路安全與基礎設施安全局（CISA） 在 1 月份發出緊急指令，要求所有聯邦民用機構必須在一週內修補 CVE-2024-55591，這是該機構歷來最短的修補期限之一。隨後，Fortinet 確認這些漏洞已遭到攻擊者利用，並在公告中加入了 CVE-2025-24472。

根據 Forescout Research 發佈的報告，從 1 月底到 3 月期間，研究人員發現多起入侵事件與這些漏洞有關，最終導致了一種新型勒索軟體的部署，該軟體被命名為 SuperBlack。

Forescout 的分析顯示，Mora_001 的攻擊手法與 LockBit 類似，他們利用了 LockBit 3.0（LockBit Black） 的洩漏建構器，但刪除了 LockBit 品牌標誌，並開發了自訂數據外洩工具。這表明該組織可能是 LockBit 的前附屬成員，正在調整其策略，或仍與 LockBit 生態系統保持間接聯繫。

資安專家 Stefan Hostetler（Arctic Wolf 資深威脅情報研究員）確認，這些 Fortinet 漏洞的攻擊行動早在 1 月底就已經開始，並於 2 月 2 日觀察到具體的攻擊活動。雖然 Fortinet 已釋出修補程式，但攻擊者仍然針對未能及時更新或強化防火牆配置的組織發動攻擊。

Arctic Wolf 進一步指出，針對 FortiGate 防火牆管理介面的掃描活動早在 12 月初就已出現，這比 Fortinet 正式披露漏洞的時間還要早，顯示出威脅行動者可能已掌握漏洞資訊並進行預先部署。此事件再次凸顯企業應 及時修補漏洞，並採取積極的網路安全防護措施。

Mora_001 的出現反映出當前勒索軟體攻擊模式的發展趨勢：自 2022 年 LockBit 3.0 建構器洩漏以來，許多攻擊團體開始開發自己的變種，並結合不同勒索軟體組織的策略。例如，SuperBlack 在勒索信結構與數據外洩技術上與 BlackCat/ALPHV 等其他勒索軟體組織的手法相似。

Fortinet 產品使用者建議措施：

立即安裝 Fortinet 安全更新，修補 CVE-2024-55591 和 CVE-2025-24472 漏洞。
檢查防火牆管理介面設定，確保未暴露於公網，降低風險。
監控與 SuperBlack 勒索軟體相關的攻擊指標（IoCs），偵測潛在入侵行為。
建立完整的事件應變計畫，確保組織能夠迅速應對可能的攻擊。

根據資安媒體TechCrunch，截至目前，Fortinet 尚未就此威脅發表進一步聲明。由於勒索軟體攻擊手法持續演變，企業與機構應保持高度警覺，確保關鍵系統的安全性，以防止惡意攻擊的影響。

SuperBlack勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5          046b64c08f66f1820ae4ce5dd170e761                

FileHash-MD5          294e9f64cb1642dd89229fff0592856b                             

FileHash-MD5          4bcc3589bbbbaa013bebf38d28d442ac                         

FileHash-MD5          5c082bc67a61c822877dab10226044c8

FileHash-SHA256

782c3c463809cd818dadad736f076c36cdea01d8c4efed094d78661ba0a57045

FileHash-SHA256

813ad8caa4dcbd814c1ee9ea28040d74338e79e76beae92bedc8a47b402dedc2

美國聯邦調查局（FBI）與美國網路安全暨基礎設施安全局（CISA）警告，自2021年6月首次偵測到Medusa勒索軟體以來，該惡意軟體已影響超過300家關鍵基礎設施機構。

兩大機構近日聯合發布安全公告，揭露Medusa的攻擊行為模式並提供防範建議。

Medusa勒索軟體概述

Medusa是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS），主要透過網路釣魚（Phishing）攻擊及利用未修補的軟體漏洞進行滲透。

截至2025年2月，CISA指出，Medusa的開發者及其合作夥伴已攻擊超過300家關鍵基礎設施機構，受影響產業涵蓋醫療、教育、法律、保險、科技及製造業等。

然而，實際受害機構的數量可能更高。根據Symantec威脅獵人團隊的最新報告，自2023年初以來，該勒索軟體組織在其資料外洩網站上已公開近400家受害機構的資訊，實際影響範圍可能遠超此數。

Medusa的多重勒索手法

Medusa採用雙重甚至三重勒索策略，包括：

1. 竊取並加密受害者資料。
2. 威脅公開被盜數據，以施壓受害者支付贖金。
3. 部分受害者支付贖金後，仍被要求支付額外費用才能獲得所謂的「真解密工具」（True Decryptor）。

Medusa的攻擊模式

1. 初始滲透與存取權限購買

最初，Medusa由一個勒索軟體團隊掌控，負責所有開發與運營。但隨著時間推移，該組織轉向聯盟模式，允許多個駭客組織合作，而贖金談判仍由核心開發團隊集中控制。

Medusa活躍於地下駭客論壇，專門招募「初始存取經紀人」（Initial Access Brokers, IABs）來獲取受害組織的存取權限。該組織提供100美元至100萬美元不等的報酬，甚至允許駭客專門為Medusa工作。

2. 攻擊手法與內部滲透

• 釣魚攻擊：Medusa的合作夥伴透過網路釣魚竊取憑證。
• 漏洞利用：該組織曾濫用ScreenConnect與Fortinet EMS SQL注入漏洞等已知漏洞。
• 合法工具濫用：「Living off the Land」技術（利用系統內建工具進行攻擊），避免傳統防毒軟體偵測。
• 網路與系統探測：滲透後，Medusa會掃描常見連接埠，利用命令列工具進行網路與檔案系統探索，並使用Windows Management Instrumentation（WMI）查詢系統資訊。
• 混淆與反偵測：使用Base64編碼混淆PowerShell惡意程式碼，甚至透過有漏洞或合法簽章的驅動程式關閉或刪除防毒工具。

3. 遠端存取與資料外洩

Medusa會根據受害者環境選擇適合的遠端存取軟體。

• 資料外洩與加密：駭客使用Rclone等工具將資料同步至雲端，隨後部署「gaze.exe」加密檔案，並附加「.medusa」副檔名。
• 系統破壞：gaze.exe會終止備份、安全性、資料庫、通訊、檔案共享與網站服務，刪除Windows陰影備份（Shadow Copy），再以AES-256加密。
• 虛擬機器加密：攻擊者手動關閉虛擬機器，並加密其相關檔案。

勒索與贖金支付機制

• Medusa會在受害系統留下「READ_ME_MEDUSA!!!.txt」勒索訊息，要求受害者在48小時內透過Tor瀏覽器或Tox加密通訊軟體聯繫。
• 若受害者未回應，攻擊者可能直接撥打電話或寄送電子郵件。
• 在Medusa的暗網網站上，攻擊者發布贖金要求並提供加密貨幣支付連結，甚至在倒數計時結束前向潛在買家販售受害數據。
• 受害者可支付1萬美元延長倒數計時。
• FBI調查發現，一些受害者支付贖金後，另一名Medusa攻擊者聲稱談判者已私吞款項，要求再支付一半金額以取得「真正的解密工具」，顯示該組織可能實施三重勒索策略。

CISA與FBI建議的防禦措施

• 修補已知漏洞，避免攻擊者利用未修補漏洞滲透。
• 進行網路分段，減少橫向移動風險。
• 落實資料備份與復原計畫，確保關鍵數據可快速恢復。
• 監測可疑流量與異常行為，例如未經授權的遠端存取或異常加密活動。
• 教育員工提高資安意識，防範網路釣魚攻擊。

企業應及早採取行動，強化資安防禦，以降低Medusa等勒索軟體的風險。

近日，竣盟科技發現勒索軟體集團 CrazyHunter 已在暗網設立官方網站，詳細列出其受害者名單、入侵證據以及相關「服務」資訊。該組織近期針對 馬偕醫院 及 彰基醫院 的攻擊，已引發外界對醫療機構網路安全的高度關注。

與傳統勒索軟體集團不同，CrazyHunter 展現出 高度組織化、技術先進 且 極具侵略性 的行動模式，結合快速滲透、數據毀滅與品牌化犯罪運營，體現其高水準的攻擊計劃性與執行力。

攻擊模式與 DLS 架構

根據其暗網上的 Data Leak Site (DLS)，CrazyHunter 採取 高效、精準 的攻擊策略，目標是 在最短時間內突破企業安全防線。

DLS 主要架構

• 首頁：
  • 顯示 CrazyHunter 名稱 及座右銘：「There is no absolute safety（絕對的安全並不存在）」，凸顯其核心理念：任何系統均無法實現絕對安全。
• Victim List（受害者列表）：
  • 受害機構僅來自台灣，涵蓋醫療、學術單位與製造業。
  • 每個受害案例包含：
    • 勒索金額（最高可達 150 萬美元）。
    • 交易狀態（如 Expired 代表數據即將公開，Successful cooperation 代表已支付贖金）。
    • 倒數計時器，藉此施加心理壓力。
• About Us（關於我們）：
  • 描述該組織的攻擊手法與技術優勢。
• Contact Us（聯繫我們）：
  • 提供談判及「合作」管道。

CrazyHunter聲稱擁有的高級攻擊技術與戰術-72小時滲透戰略

CrazyHunter 自稱可在 72 小時內攻破企業防線，其技術優勢包括：

• 獨家漏洞利用：
• 獨家漏洞利用鏈的存活時間超過 MITRE 平均估計 300% 以上，即漏洞在被修補、緩解或失效之前的持續時間——比MITRE的估計值高出300%以上。
• 繞過主流Endpoint系統，包括：
  • CrowdStrike
  • SentinelOne
  • Microsoft Defender XDR
  • Symantec EDR
  • Trend Micro XDR
• 混合攻擊策略：
  • 零日漏洞（Zero-day）與已知漏洞（N-day）並用，提升滲透效率。
  • 檔案無痕攻擊（Fileless Attack），繞過傳統偵測機制。
  • 變形惡意軟體（Polymorphic Malware），透過自我調整規避安全防護。

三維數據毀滅系統Three-dimensional Data Annihilation System

1. 加密層（Encryption Layer）：
   • 採用 XChaCha20-Poly1305 演算法，實現高速加密，無密鑰狀態下數據無法復原。
2. 毀滅層（Destruction Layer）：
   • 採用 CIA認可的覆寫刪除技術，透過多重覆寫使數據不可恢復。
3. 威懾層（Deterrence Layer）：
   • 利用AI生成針對高層管理人員的高真實度入侵證據，施加額外壓力迫使受害者付款。

此 結合高端加密、數據銷毀與心理戰術 的混合策略，使 CrazyHunter 成為當前最具威脅性的網路犯罪組織之一。

犯罪品牌與區塊鏈技術的應用

CrazyHunter 強調品牌經營，透過「服務」機制增加受害者付款誘因，包括：

• 延遲數據公開服務： 付款 50% 贖金可推遲數據曝光。
• 安全漏洞修復指南： 提供技術文件，幫助企業「補救」安全問題。
• 數據刪除證明影片： 付款後提供影片，證明數據已被銷毀。
• 區塊鏈記錄：
  • 該組織聲稱會將「履約證據」上鏈，以建立「信譽」，提高受害者付款率。

這種模式 不同於傳統勒索軟體集團（如 REvil、LockBit），展現出更成熟的犯罪運營模式。

攻擊目標與受害者分析

CrazyHunter 目前的主要攻擊目標為 台灣的醫療、學術與能源產業，已知受害機構包括：

• 高等教育機構（某某大學及其附屬醫院）。
• 醫療機構（如馬偕醫院、彰基醫療財團法人）。
• 製造產業

該組織傾向選擇 支付意願較高 的受害者，如醫療與學術機構，以利用其對數據洩露的高度敏感性。然而，未來其攻擊範圍極可能擴展至 金融、製造、政府機構 等其他產業。

結論與防禦建議

CrazyHunter 並非傳統勒索軟體集團，而是結合 高端技術、心理戰術與品牌化經營 的 新型態網路犯罪組織，其特點包括：

• 不可恢復的數據銷毀（加密 + 物理摧毀）。
• AI 深度偽造技術（用於施壓與勒索）。
• 區塊鏈技術（用於建立「信譽」，提高贖金支付率）。

企業應採取以下關鍵防禦措施：

1. 強化 EDR/XDR 部署，提升對進階攻擊的偵測與防禦能力。
2. 持續漏洞管理，縮短漏洞修補週期，降低被利用風險。
3. AI 驅動的風險評估，主動預測潛在攻擊，提升整體安全性。
4. 強化欺敵技術的應用，透過部署虛假資源來誘騙攻擊者，從而降低真實數據遭受攻擊的風險。

隨著 勒索軟體的組織化、品牌化與技術升級，企業需 重新評估並升級安全策略，以免成為下一個目標。

近期，資安研究員發現 Akira 勒索軟體採取了一種罕見的攻擊策略——利用一台未受保護的網路攝影機來加密受害者的網路檔案，成功繞過 EDR（端點檢測與回應）防禦機制。這起攻擊事件凸顯了物聯網（IoT）設備的安全風險，以及企業在防護策略上的潛在漏洞。

攻擊過程解析

根據資安公司S-RM 的調查，Akira最初透過企業暴露在外的遠端存取系統滲透內部網路，可能是通過竊取憑證或暴力破解方式獲取權限。入侵後，攻擊者部署 AnyDesk（一款合法的遠端管理工具），並開始竊取企業機敏數據，準備進行雙重勒索攻擊。

為了擴大影響範圍，他們利用 遠端桌面協議（RDP） 進行橫向移動，試圖在多台 Windows 系統中部署勒索軟體。最終，攻擊者投放了一個受密碼保護的壓縮檔 win.zip，內含勒索軟體載荷 win.exe，但因為受害企業部署了 EDR 解決方案，這個加密程序在執行前就被攔截並隔離，使攻擊受挫。

Photo Credit: Source: S-RM

繞過 EDR：攻擊者如何利用網路攝影機？

在傳統攻擊路徑被 EDR 阻擋後，Akira開始尋找替代方案，透過掃描內部網路，發現一台 網路攝影機和指紋掃描器。最終，他們選擇了攝影機作為攻擊跳板。

根據 S-RM 的技術分析，這台攝影機具備以下特點，使其成為攻擊者的最佳選擇：

1. 存在遠端 Shell 存取漏洞，允許攻擊者在未經授權的情況下執行命令。
2. 運行基於 Linux 的作業系統，與 Akira 勒索軟體的 Linux 加密工具兼容。
3. 未部署 EDR 代理程式，因此不受企業安全監控機制的約束。

攻擊者利用攝影機的 Linux 系統掛載了企業 Windows 設備的 SMB 網路共享，然後直接在攝影機上執行 Linux 版勒索軟體，加密所有連接到該網路共享的檔案。由於 該設備未受企業資安團隊監控，導致異常 SMB 流量未被及時發現，最終讓攻擊得逞。

資安專家建議：如何降低 IoT 設備風險？

這起事件突顯出，雖然 EDR 能有效攔截端點設備上的惡意行為，但對於 IoT 設備的防護仍有極大缺口。為防範類似攻擊，企業應採取更全面的資安策略：

1. 強化 IoT 設備安全管理

• 將 IoT 設備與核心業務網路隔離，避免攻擊者利用這些設備作為攻擊跳板。
• 停用不必要的遠端存取功能，降低潛在攻擊面。
• 定期更新韌體與安全修補，修補已知漏洞，防範攻擊者利用弱點滲透。

2. 加強異常流量監控

• 部署網路流量分析（NTA）工具，偵測內部設備是否發送異常 SMB 流量。
• 建立設備使用行為基準（baseline），一旦設備流量異常，立即啟動警報機制。

3. 提升存取管理與帳號安全

• 確保 IoT 設備管理帳號使用強密碼，並關閉預設憑證。
• 實施多因素身份驗證（MFA），避免攻擊者透過竊取憑證輕易入侵網路。

結論：IoT 設備是資安防禦的新戰場

這起 Akira 勒索攻擊事件表明，企業不能僅依賴 EDR 或傳統的端點安全防護來應對勒索軟體攻擊。攻擊者已經開始利用企業忽略的 IoT 設備，作為繞過資安防線的切入點。

為此，企業必須全面檢視網絡中的 所有設備安全狀態，包括 IoT 設備、伺服器與工作站，並透過 網路隔離、異常監控及修補管理，來降低類似攻擊的風險。未受監管的 IoT 設備，可能就是下一個網路安全的破口，企業務必正視這一威脅，及早採取行動。

Akira勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

3920f3C63686514e8e0288f8227e92c969d690e5

b5a5bd9f727623b2eeea051eldd7d57705daa03a

ac9952bcfcecab7400e837d55f91e9a5eeb67d07