[資安人文章分享] SOPHOS最新報告：資料和憑證竊取是中小企業面臨的前兩大威脅

Sophos發布最新《Sophos 2024 年威脅報告》。根據該份報告， 2023 年 Sophos 針對中小企業的惡意軟體偵測中，近 50% 是鍵盤側錄程式、間諜軟體和竊取程式。攻擊者使用這些軟體來竊取資料和憑證，然後再利用竊取到的資訊進行未經授權的遠端存取、勒索受害者，以及部署勒索軟體等。

在這份報告中，Sophos 還分析了初始存取仲介 (IAB)，這是一群專門破解電腦網路的犯罪分子。如報告所示，IAB 正使用暗網來宣傳他們可以破解中小企業網路的能力和服務，或是出售已經破解的中小企業的即時存取權限。

Sophos表示，對網路犯罪分子而言，『資料』猶如貨幣，尤其來源是中小企業時，因為這些企業在運作時往往只會使用同一項服務或軟體應用程式。例如，假設攻擊者在鎖定的目標網路上放入一個竊取憑證的資料竊取軟體，然後取得了該公司會計軟體的密碼。此後，攻擊者就可以取得目標公司的財務狀況，並有能力將資金轉入自己的帳戶。

單是 2023 年向 Sophos 回報的所有網路攻擊中，超過 90% 和資料或憑證竊取有關，無論手法是透過勒索軟體攻擊、資料勒索、未經授權的遠端存取，還是簡單的資料竊取。

勒索軟體仍是中小企業最大的網路威脅

勒索軟體攻擊是中小企業面臨的最大網路威脅。在 Sophos Incident Response (IR) 處理的中小企業案例中，LockBit 是造成嚴重破壞的首要勒索軟體集團，Akira 和 BlackCat 分別排名第二和第三。此外，報告中研究的中小企業，還須面對一些持續存在和較冷門的勒索軟體攻擊，如 BitLocker 和 Crytox。

根據報告，勒索軟體營運者持續改變著勒索軟體的策略，包括利用遠端加密和鎖定託管服務提供商 (MSP) 進行攻擊。在 2022 年和 2023 年間，使用遠端加密的勒索軟體的攻擊量增加了 62%；這是指攻擊者使用受害者網路上未受管理的裝置來加密網路上其他系統的檔案。

此外，過去一年在 Sophos 託管式偵測和回應 (MDR) 團隊處理的案例中，發生了五起小型企業因 MSP 的遠端監控和管理 (RMM) 軟體出現漏洞而遭受攻擊的情形。

相關文章：ConnectWise ScreenConnect軟體出現嚴重漏洞！MSP服務提供商應留意供應鏈攻擊可能

攻擊者強化了社交工程和商業電子郵件詐騙 (BEC) 攻擊

根據 Sophos 這份報告，商業電子郵件詐騙 (BEC) 緊接在勒索軟體之後，是 Sophos IR 在 2023 年處理量第二高的攻擊。

這些商業電子郵件詐騙攻擊和其他社交工程手法變得越來越複雜。攻擊者不再只是傳送夾帶惡意附件的郵件，而是可能會透過傳送一系列對話郵件或甚至打電話來與目標互動。

為了避免被傳統的垃圾郵件防護工具偵測出來，攻擊者會嘗試使用新的格式來傳播惡意內容，包括嵌入包含惡意程式碼的圖片，或是以 OneNote 或壓縮檔的格式來傳送惡意附件。如在 Sophos 調查的一起案例中，攻擊者傳送了一份 PDF 檔，其中有一張模糊不清且無法閱讀的發票縮圖，而下載按鈕的連結則是連往一個惡意網站。