CrazyHunter 暗網曝光:我們掌握了多少情報?

Posted on by blogadmin

近日,竣盟科技發現勒索軟體集團 CrazyHunter 已在暗網設立官方網站,詳細列出其受害者名單、入侵證據以及相關「服務」資訊。該組織近期針對 馬偕醫院彰基醫院 的攻擊,已引發外界對醫療機構網路安全的高度關注。

與傳統勒索軟體集團不同,CrazyHunter 展現出 高度組織化、技術先進極具侵略性 的行動模式,結合快速滲透、數據毀滅與品牌化犯罪運營,體現其高水準的攻擊計劃性與執行力。

攻擊模式與 DLS 架構

根據其暗網上的 Data Leak Site (DLS),CrazyHunter 採取 高效、精準 的攻擊策略,目標是 在最短時間內突破企業安全防線

DLS 主要架構

  • 首頁:
    • 顯示 CrazyHunter 名稱 及座右銘:「There is no absolute safety(絕對的安全並不存在)」,凸顯其核心理念:任何系統均無法實現絕對安全
  • Victim List(受害者列表):
    • 受害機構僅來自台灣,涵蓋醫療、學術單位與製造業。
    • 每個受害案例包含:
      • 勒索金額(最高可達 150 萬美元)。
      • 交易狀態(如 Expired 代表數據即將公開,Successful cooperation 代表已支付贖金)。
      • 倒數計時器,藉此施加心理壓力。
  • About Us(關於我們):
    • 描述該組織的攻擊手法與技術優勢。
  • Contact Us(聯繫我們):
    • 提供談判及「合作」管道。

CrazyHunter聲稱擁有的高級攻擊技術與戰術-72小時滲透戰略

CrazyHunter 自稱可在 72 小時內攻破企業防線,其技術優勢包括:

  • 獨家漏洞利用:
  • 獨家漏洞利用鏈的存活時間超過 MITRE 平均估計 300% 以上,即漏洞在被修補、緩解或失效之前的持續時間——比MITRE的估計值高出300%以上。
  • 繞過主流Endpoint系統,包括:
    • CrowdStrike
    • SentinelOne
    • Microsoft Defender XDR
    • Symantec EDR
    • Trend Micro XDR
  • 混合攻擊策略:
    • 零日漏洞(Zero-day)與已知漏洞(N-day)並用,提升滲透效率。
    • 檔案無痕攻擊(Fileless Attack,繞過傳統偵測機制。
    • 變形惡意軟體(Polymorphic Malware,透過自我調整規避安全防護。

三維數據毀滅系統Three-dimensional Data Annihilation System

  1. 加密層(Encryption Layer):
    • 採用 XChaCha20-Poly1305 演算法,實現高速加密,無密鑰狀態下數據無法復原。
  2. 毀滅層(Destruction Layer):
    • 採用 CIA認可的覆寫刪除技術,透過多重覆寫使數據不可恢復。
  3. 威懾層(Deterrence Layer):
    • 利用AI生成針對高層管理人員的高真實度入侵證據,施加額外壓力迫使受害者付款。

結合高端加密、數據銷毀與心理戰術 的混合策略,使 CrazyHunter 成為當前最具威脅性的網路犯罪組織之一。

犯罪品牌與區塊鏈技術的應用

CrazyHunter 強調品牌經營,透過「服務」機制增加受害者付款誘因,包括:

  • 延遲數據公開服務: 付款 50% 贖金可推遲數據曝光。
  • 安全漏洞修復指南: 提供技術文件,幫助企業「補救」安全問題。
  • 數據刪除證明影片: 付款後提供影片,證明數據已被銷毀。
  • 區塊鏈記錄:
    • 該組織聲稱會將「履約證據」上鏈,以建立「信譽」,提高受害者付款率。

這種模式 不同於傳統勒索軟體集團(如 REvil、LockBit,展現出更成熟的犯罪運營模式。

攻擊目標與受害者分析

CrazyHunter 目前的主要攻擊目標為 台灣的醫療、學術與能源產業,已知受害機構包括:

  • 高等教育機構(某某大學及其附屬醫院)。
  • 醫療機構(如馬偕醫院、彰基醫療財團法人)。
  • 製造產業

該組織傾向選擇 支付意願較高 的受害者,如醫療與學術機構,以利用其對數據洩露的高度敏感性。然而,未來其攻擊範圍極可能擴展至 金融、製造、政府機構 等其他產業。

結論與防禦建議

CrazyHunter 並非傳統勒索軟體集團,而是結合 高端技術、心理戰術與品牌化經營新型態網路犯罪組織,其特點包括:

  • 不可恢復的數據銷毀(加密 + 物理摧毀)。
  • AI 深度偽造技術(用於施壓與勒索)。
  • 區塊鏈技術(用於建立「信譽」,提高贖金支付率)。

企業應採取以下關鍵防禦措施:

  1. 強化 EDR/XDR 部署,提升對進階攻擊的偵測與防禦能力。
  2. 持續漏洞管理,縮短漏洞修補週期,降低被利用風險。
  3. AI 驅動的風險評估,主動預測潛在攻擊,提升整體安全性。
  4. 強化欺敵技術的應用,透過部署虛假資源來誘騙攻擊者,從而降低真實數據遭受攻擊的風險。

隨著 勒索軟體的組織化、品牌化與技術升級,企業需 重新評估並升級安全策略,以免成為下一個目標。