勒索軟體
」 駭客 勒索軟體 攻擊 資安 美國
華碩被駭!駭客組織Everest自稱握有1TB資料 公司強調未波及產品與用戶資料
知名科技品牌華碩(ASUS)近日驚傳遭駭客集團Everest入侵。該駭客組織在暗網聲稱,已成功入侵華碩內部系統,竊取超過1TB的資料,內容疑似包括筆電與手機相機的影像處理原始碼,並要求華碩須於3日晚間11點前透過加密通訊工具聯繫,否則將公開所竊資料。對此,華碩3日晚間發布聲明澄清,事件實際上是發生在其供應商系統,非公司本身的內部系統遭駭。根據《民視新聞》稍早報導,勒索軟體集團Everest於暗網聲稱已侵入華碩內部系統,並竊取高達1TB的資料,要求華碩須在今晚11點前回應相關要求。對此,華碩於晚間發布聲明表示:「此事件未影響華碩產品、公司內部系統與用戶隱私。華碩持續強化供應鏈安全,符合資安規範。」此外,華碩在官網公告中補充,實際遭駭為其供應商,事件影響範圍僅限於手機相機部分影像處理原始碼,並再次強調公司主體系統未受波及。目前,外界仍不清楚遭攻擊的供應商具體為何,亦無確切資訊顯示駭客集團所要求的勒索金額。華碩並未進一步說明整起事件的詳細經過,僅以「未影響產品與用戶隱私」作為主要立場對外說明。由於事件涉及資訊安全與企業形象,根據金融監督管理委員會的規範,上市櫃公司若發生重大資安事件,應即時依規定辦理重大訊息揭露。然而,截至目前為止,尚未見華碩依相關規定揭露此次駭客事件的具體內容。針對此次事件,數位發展部表示,雖然該部門不負責處理民間企業的資安問題,但若企業有資安技術支援需求,仍可直接聯繫「台灣電腦網路危機處理暨協調中心」(TWCERT/CC)尋求技術協助,以利相關單位介入處理與應變。
俄羅斯駭客組織「齊林」橫掃全球 2025年已爆700起勒索攻擊
目前有網路安全研究人員揭露,以俄羅斯為基地的駭客組織「齊林」(Qilin)在2025年已聲稱完成第700起勒索軟體攻擊,成為當前全球最活躍的網攻集團之一。Comparitech的分析指出,這個組織自2022年出現以來迅速壯大,2024年共發動179起攻擊,而2025年的規模已成長近四倍。根據《Cybernews》報導指出,齊林採取所謂「勒索軟體即服務」(ransomware-as-a-service)的營運模式,將惡意軟體與入侵基礎設施出租給其他駭客組織,由他們實際發動攻擊並分享贖金。這種結構讓其行動擴散速度極快。尤其在2025年4月另一大型勒索平台「勒索中心」(RansomHub)關閉後,齊林吸收了大量流失的附屬駭客,攻擊量隨即暴增280%,短短數月從185起攀升至超過701起。研究顯示,齊林最常鎖定製造業、金融業、零售業、醫療體系與政府機構等存有大量機密資料的單位。其著名攻擊案例包括日本最大啤酒商朝日控股(Asahi Holdings),事件造成啤酒與軟性飲料供應短缺;以及法國大眾集團(Volkswagen Group France),該案據稱外洩2,000個檔案、約150GB內部資料。朝日集團至今仍在修復系統,法國阿盧佩皮尼昂公司(Alu Perpignan)則因攻擊導致營運停擺三週,損失等同三個月營收。Comparitech資料顯示,齊林的目標範圍涵蓋全球200多個國家,其中美國受害最深,共有375起攻擊,其次為法國41起、加拿大39起、南韓33起及西班牙26起。整體而言,該組織在所有已知事件中共竊取116TB資料,洩漏超過78萬筆記錄。學術與政府單位在過去一年也成為新焦點。教育機構遭受的攻擊數量從2024年至2025年間激增420%,政府機關增加344%,而醫療體系的成長幅度則為125%。其中,日產汽車(Nissan)旗下設計子公司「日產創意盒」(NissanCreativeBoxInc.)遭竊超過4TB設計資料,疑似涉及競爭情報外洩風險。在所有事件中,贖金金額動輒數百萬美元。馬來西亞機場控股公司(Malaysia Airports Holdings Bhd)今年3月遭攻擊後被索討1,000萬美元贖金,事件癱瘓吉隆坡國際機場(KualaLumpur International Airport)系統,官方拒絕付款;美國克里夫蘭市政法院(Cleveland Municipal Court)2月遭攻擊,駭客要求400萬美元;西班牙自治城市梅利利亞(Ciudad Autónomade Melilla)在6月的攻擊中被勒索212萬美元,並傳出4至5TB資料遭竊。Comparitech資料研究部主管穆迪(Rebecca Moody)指出,齊林藉由將惡意軟體租賃給其他駭客,使其活動範圍急速擴張。她說:「在短短數月內,它就鎖定了數百家企業,造成前所未見的混亂。」穆迪補充,光是2025年10月,齊林新增的受害者就超過百家,顯示其行動仍持續加速中。
外匯最大來源!北韓駭客再破紀錄 2年竊取加密貨幣逾28億美元
由11國組成的多邊制裁監控小組(Multilateral Sanctions Monitoring Team,MSMT)最新評估,2024年1月至2025年9月間,北韓駭客透過一連串網攻與洗錢流程,搬走價值28.3億美元的加密資產,約占該國2024年外匯總收入的三分之一。2025年前9個月失竊金額達16.4億美元,較2024年全年的11.9億美元增幅50%,顯示攻擊規模持續擴大。根據《CryptoPotato》報導,MSMT將今年2月針對Bybit的入侵列為關鍵事件。行動與TraderTraitor組織相關,該團體亦被稱為翡翠雪(Jade Sleet)或UNC4899。這些駭客不是直搗交易所核心,而是從多重簽名錢包供應商SafeWallet下手,先以釣魚信與惡意程式滲透內部系統,再把外部轉帳偽裝成內部操作,進一步操控冷錢包智慧合約,資金得以悄然轉移。MSMT統計,駭客近年常避開正面攻破交易所,轉而針對第三方服務供應商下手;CryptoCore、Citrine Sleet等團隊以假開發者身分、被盜身份資訊與供應鏈知識反覆施作。Web3專案Munchables曾在單次攻擊中損失6,300萬美元,後因洗錢環節受阻,資金才據報被歸還。被竊代幣出場後,隨即進入多層清洗。MSMT描述的典型路徑,先把資產在去中心化交易所兌換為以太坊(Ethereum,ETH),再透過Tornado Cash或Wasabi Wallet攪混足跡;其後跨鏈轉為比特幣(Bitcoin,BTC),再次混幣、移入冷錢包保存,接著換成波場幣(Tron,TRX),最後轉入穩定幣USDT。尾聲由場外經紀人兌換現金,斷開鏈上脈絡。個案串流顯示,中國、俄羅斯與柬埔寨成為關鍵節點。在中國,深圳鏈元網絡科技公司(Shenzhen Chain Element Network Technology)的葉定榮(Ye Dinrong)、譚永志(Tan Yongzhi)與交易員王義聰(Wang Yicong)被指協助資金搬運與偽造證件;俄羅斯的中介據稱將Bybit案約6,000萬美元經場外通道轉換;柬埔寨的Huione Pay(Huione Pay)被用作資金流轉平台,但其牌照未獲央行續期。MSMT追溯合作網絡還延伸至講俄語的網犯圈。自2010年代起北韓駭客頻繁與其互通,2025年更出現與月石雪(Moonstone Sleet)關聯的行動者向俄羅斯Qilin租用勒索軟體工具的跡象,攻防樣態從竊盜、釣魚、供應鏈滲透,一路擴張到即服務化的犯罪租賃。在追責面向上,MSMT點名TraderTraitor、CryptoCore、Citrine Sleet等多個團隊慣用的「第三方突破」戰術,提醒業界除加固交易所本身控管,對多簽、託管、基礎建設供應商的社工風險與權限管理不可鬆懈。報告也還原洗錢的九步驟鏈路,凸顯跨鏈橋、混幣器、場外經紀與離岸法域的緊密協作,任何一環的合規鬆動都可能被用來擴大洗白效能。面對資安與制裁的雙重挑戰,參與MSMT的11個司法轄區發表聯合聲明,呼籲聯合國(UN)會員國提高對上述網路行動的警覺,並要求聯合國安全理事會(UN Security Council)恢復其專家小組(Panel of Experts),且維持解散前相同的權限與架構,以補上跨國協調與證據共享的缺口。
俄駭客成功滲透國防承包商!英軍機密文件在暗網被看光光
英國國防部正針對俄羅斯駭客組織,竊取數百份敏感軍事文件並於暗網(dark web)散布的指控,展開全面調查。據英國保守主義報紙《星期日郵報》(The Mail on Sunday)的獨家揭露,遭洩露的機密檔案詳細記載8處英國皇家空軍(RAF)與皇家海軍(RN)基地的安防資料,更包含國防部職員姓名與電子郵件等內部資訊,所有資料皆可透過特殊軟體於暗網這片網路隱匿區域中存取。據《BBC》報導,此次事件核心指向國防部合作廠商「多德集團」(Dodd Group),該企業證實其系統曾遭勒索軟體攻擊,並發表聲明強調「以極嚴肅態度處理相關指控」。集團發言人進一步說明:「我們確認近期發生未經授權的第3方暫時入侵內部系統的事件,已立即採取封鎖行動、強化系統安全,並委託專業資安鑑識團隊調查事件始末,目前正全力查核資料外流的具體範圍。」英國國防部則在官方聲明中坦言:「我們正積極調查國防部相關情報出現於暗網的指控,為維護作戰敏感資訊,現階段恕無法對細節進一步評論。」值得注意的是,《星期日郵報》披露的檔案中,包含薩福克郡(Suffolk)雷肯希斯皇家空軍基地(Royal Air Force Lakenheath)等高度敏感據點的資訊,該基地正是美軍「F-15E打擊鷹式戰鬥轟炸機」和「F-35閃電II戰鬥機」的海外部署要衝。這起資安危機並非英國軍方體系首度遭遇大規模資料外洩。去年才傳出有現役軍人個資遭非法存取的重大漏洞;今年8月又爆出國防部下游承包商疏失,導致數千名因協助英軍而被允許撤離至英國的阿富汗民眾的個資曝光。這一連串資安事件,引發各界對英國軍方資訊防護網的深切憂慮。
英國雲端巨頭遭駭 10億筆客戶資料外流「4人遭逮」
近期英國發生多起零售商遭勒索軟體攻擊,後續有駭客組織宣稱,已成功竊取近10億筆來自雲端服務龍頭 Salesforce 的紀錄,並強調資料中包含可辨識個人身分的資訊。根據《路透社》報導,該組織自稱「Scattered LAPSUS$ Hunters」,並對今年稍早入侵Marks & Spencer、Co-op以及Jaguar Land Rover等企業負責。但報導中強調,目前尚無法獨立驗證此番說法。Salesforce則否認自家系統遭入侵,發言人表示「目前沒有任何跡象顯示平台出現漏洞或被突破」。其中一名自稱Shiny的駭客透過電子郵件向《路透社》說明,攻擊並非直接駭入Salesforce,而是透過「vishing」語音釣魚手法,假冒員工致電IT服務台,藉此誘騙目標企業安裝惡意工具。該駭客組織3日更在暗網架設外洩網站,聲稱已掌握約40間公司的內部資料;但是否全為Salesforce客戶,尚無明確說法。至於是否正與Salesforce展開贖金談判,雙方皆拒絕回應。報導中提到,今年6月,Google威脅情報小組(Google’s Threat Intelligence Group)將該組織標記為「UNC6040」,並指出其慣用技術之一,是誘導受害者安裝遭竄改的Salesforce專屬工具「Data Loader」,讓駭客能快速大量匯入並竊取資料。Google 研究人員也認為,這次攻擊與名為「The Com」的鬆散網路犯罪生態系存在關聯,該團體因從事駭客行為與偶發暴力事件而知名。作為針對英國零售商資安事件的調查行動之一,英國警方曾於7月曾逮捕4名未滿21歲嫌犯。但這起最新聲稱涉及近10億筆Salesforce紀錄的駭客行動,其規模與影響仍待進一步釐清。
駭客盯上英國連鎖幼兒園 8千童照片與身分資料外洩暗網
倫敦知名幼兒園連鎖機構Kido Schools近日遭駭客攻擊,多達8,000名學齡前孩童的個資外洩,包含照片與敏感資料,並被張貼在暗網,引發社會高度關注。自稱「Radiant」的勒索軟體組織於24日深夜將Kido International Nurseries & Preschool列入其洩漏網站,聲稱掌握超過8,000名孩童、家屬與全體員工的資料。根據《Cybernews》報導,Radiant已經上傳20名孩童的樣本檔案,每份檔案都含有近照、全名、性別與出生日期,進一步開啟後還能看到父母姓名、住址、職業與聯絡方式,甚至包含祖父母、其他親屬及鄰居的姓名與電話。該組織並宣稱,所有英國的Kido幼兒園都受到波及,且已公開上傳員工資料庫,內容涵蓋姓名、出生日期、住址、電子郵件、國民保險號碼與入職日期。報導中提到,Kido在英國共有19間分校,官網自稱是當地最高評價的學前教育機構之一,服務對象為8個月至6歲的孩童,全球據點逾30處,服務超過15,000個家庭。不過,目前駭客僅針對英國地區下手。消息人士透露,Kido已經知會主管機關並通知家長,但迄今尚未公開發表正式聲明。倫敦大都會警察局表示,案件正由網路犯罪部門調查,仍在初步階段。Radiant聲稱因與Kido談判破裂才決定公布樣本,並揚言將持續上傳更多文件。該組織批評Kido「粗心大意」,拒絕配合要求,甚至嘲諷自己是在進行「滲透測試」,理應獲得補償。Radiant還呼籲家長透過「Join the Claim」網站對Kido提起訴訟,該網站先前曾收集Marks & Spencer與Co-op遭駭案受害者的法律行動。根據英國《BBC》報導,Radiant曾透過加密通訊平台聯繫媒體,並聲稱來自俄羅斯。雖未提出具體證據,但已寄送電子郵件給部分家長,內容未公開,據悉拼字正確,與洩漏網站上錯字頻出的文字不同。Radiant進一步威脅,手中還有「事故報告、保護報告、帳單與大宗資料」,暫時保留,以給予Kido「最後的合作機會」。《Cybernews》分析,Kido Schools是Radiant目前唯一確認的受害對象。該組織的onion網站設計簡陋,沒有官方標誌,也缺乏過往紀錄。資安研究人員至今尚未對這個新興勒索組織進行完整側寫,使事件更加撲朔迷離。
勒索集團WarLock攻擊次數激增 躋身全球前20大勒索攻擊者
勒索軟體集團WarLock曾於7月被指與Microsoft SharePoint零日漏洞攻擊有關,現已由英國網路安全公司Sophos研究團隊以代號GOLDSALEM追蹤。而Sophos日前提出警告,該集團近期攻擊行動急速升溫,展現出結合傳統手法與新技術的模式。根據《Cybernews》報導,WarLock也被Microsoft內部標記為Storm2603,早在今年3月就已展開勒索行動。Sophos最新情報指出,僅在9月,WarLock就在其暗網平台「WarLockClientDataLeakShow」聲稱已有60名受害者,攻擊範圍橫跨北美、歐洲與南美洲,對象涵蓋中小企業、政府機構與跨國公司。今年8月,WarLock對兩家電信巨頭發動攻擊,包括法國數位服務供應商Orange與英國總部的Colt。該集團聲稱自Colt竊取多達100萬份文件,並在洩漏網站標註「拍賣進行中」。同一時期,全球航空聯盟「星空聯盟」(StarAlliance)也被點名為受害者,貼文甚至宣稱「數據已被其他買家購得」,但該公司尚未公開證實。與其他勒索集團不同,WarLock公布的受害者資訊極為有限,貼文通常不列出攻擊日期或樣本檔案,只標註資料狀態為「已發布」或「出售」,有時附上下載連結。該組織還強調,若受害者拒絕支付贖金,數據將被公開,並聲稱「不負責任的公司」應自行承擔後果。Sophos調查顯示,WarLock在6月前幾乎未有公開活動,直到俄羅斯地下論壇Ramp出現徵求漏洞的貼文,內容涉及Veeam、ESXi、SharePoint等常用應用程式,以及干擾端點偵測與回應(EDR)的工具。7月下旬,Microsoft證實觀察到中國國家支持的攻擊者利用SharePoint零日漏洞部署WarLock勒索軟體,全球數千家企業遭到影響。該漏洞最早於7月18日被中國駭客組織SaltTyphoon利用,當時約有100家機構遭鎖定;由於修補程式未能及時發布,額外超過1萬台伺服器面臨風險,其中不乏政府單位。Sophos指出,WarLock展現高度熟練的攻擊手法,包括利用SharePoint漏洞結合自製ToolShell鏈,安裝基於Golang的WebSockets伺服器維持滲透,同時濫用合法工具Velociraptor建立隱蔽通道。研究人員還發現,該集團使用Mimikatz竊取憑證,並透過PsExec與Impacket在網路中橫向移動,最後利用GPO大規模推送勒索軟體載荷。資安專家提醒,各機構必須強化攻擊面監控,建立嚴格的外部服務修補政策,並確保具備即時事件回應能力。Sophos已將WarLock列為過去12個月內最活躍的前20名勒索集團之一,並強調深入了解其運作方式,對企業提升防禦至關重要。
駭客新招!威脅把作品「餵AI」訓練 藝術家不付5萬美金就全網公開
連結自由藝術家與客戶的網站Artists&Clients在8月30日稱遭到名為「LunaLock」的勒索軟體組織入侵。該組織聲稱已竊取並加密網站所有資料,要求支付5萬美元贖金,否則不僅會在暗網公開原始碼與使用者個資,還威脅要將平台上的藝術作品交給人工智慧公司,作為大型語言模型(LLM)的訓練素材。根據《404 Media》報導,駭客在網站下線前留下的勒索訊息包含倒數計時器,要求業者於期限內付款,接受比特幣或門羅幣(Monero)。訊息同時警告,若平台拒絕支付,不僅資料可能外洩,經營方還可能因觸犯歐盟《一般資料保護規範》(GDPR)及其他隱私法而面臨罰則。與以往單純的資料勒索不同,這次駭客首次將「AI訓練」列為談判籌碼。網安公司Flare的威脅情報研究員哈珀(Tammy Harper)指出,這是她第一次看到駭客公開聲稱要將竊得資料用於人工智慧訓練。她分析,對藝術家社群而言,這樣的威脅尤其敏感,因為一旦作品被投入AI訓練資料庫,將難以追蹤與控制後續用途,對藝術家與交易平台之間的信任造成致命打擊。至於LunaLock是否真的有能力將資料輸送到AI訓練中,目前仍不明朗。專家推測,他們可能僅需將檔案釋出到公開網站,等待爬蟲自動收錄,甚至可能藉由聊天機器人或圖片上傳管道滲透到資料集。但能否被實際採用,仍取決於各家AI公司的訓練政策。事件發生後,Artists&Clients官網至今仍顯示Cloudflare的錯誤訊息,無法連線。社群媒體上已有用戶分享勒索信截圖,甚至連Google搜尋快照中仍留存相關文字。
資安戰爭升級 台灣站上全球前線 AI與零信任成新世代防禦核心 Zscaler台灣總監莊劍偉:跨域團隊與國際合作成關鍵
隨著全球數位轉型加速,網路攻擊的頻率與複雜度正以前所未有的速度攀升。根據台灣國安局統計,2024年政府機關平均每日遭受駭客攻擊高達240萬次,較前一年翻倍成長;民間企業每週平均則面臨3,993次攻擊,居亞太地區之首。這些數字不僅突顯台灣在地緣政治下的資安高風險位置,也意味著資安已從單純的技術議題,正式升格為國家安全的核心戰線。全球資安新局:從勒索病毒到生成式AI風險近十年來,國際間的重大資安事件層出不窮。從2017年的NotPetya勒索軟體攻擊、2020年的SolarWinds供應鏈入侵、2021年的Microsoft Exchange資料外洩,到2024年發生的CrowdStrike更新當機事件,均揭露了軟體與系統在全球高度互聯下的脆弱性。同時,新興技術也帶來不可忽視的資安挑戰。生成式AI能協助企業提升效率,卻也可能被濫用於釣魚郵件、Deepfake詐騙與假資訊製造。後量子密碼學、元宇宙與AI基礎設施的崛起,更讓資訊安全風險呈現高度不確定性。台灣挑戰:醫療、半導體到金融的多重威脅 資安政策由被動轉主動台灣近年多起駭客事件,凸顯資安防護的迫切性。包括台積電高階製程機密疑遭日本供應商外洩、馬偕醫院與彰化基督教醫院遭勒索攻擊,甚至有駭客利用Google日曆事件或Google Sheets作為資料竊取的中繼站。金融產業同樣面臨挑戰。金管會放寬委外上雲規範後,金融機構的首要課題就是如何兼顧雲端成本與資安韌性。《金融資安行動方案2.0》明確要求導入零信任架構,透過身分驗證、設備檢測與分段管理,來確保客戶資料與交易安全。Zscaler台灣總監莊劍偉表示:「這些事件暴露出台灣產業與公共服務的脆弱環節,台灣政府應該將資安納入醫院與金融資訊體系政策中,讓醫療系統與金融數位轉型政策從「被動應對」轉向「主動防禦」」。新世代防禦:零信任2.0與AI驅動資安面對日益複雜的攻擊,零信任架構(Zero Trust Architecture, ZTA)已成為全球防禦的標準典範。與傳統「內網可信」模式不同,零信任強調「永不信任,持續驗證」。在台灣,資安研究院推動的零信任導入,正從自評檢核到驗測機制逐步落實,並強調微分割、軟體定義邊界與持續風險評估的應用。進一步來看,零信任也正進化到2.0階段。ZT 2.0不僅強化身份與網路分段,更融入機器學習與AI演算法,實現「持續監控與驗證」,並延伸至供應鏈與OT(營運科技)場域。AI則被視為資安防禦的加速器。生成式AI可模擬駭客攻擊情境,提升演練真實度;代理型AI(Agentic AI)則能自動化分析告警、縮短事件處理時間。Zscaler台灣總監莊劍偉表示:Zscaler於2025年推出的「AI驅動資料安全分類」功能,能以「類人直覺」識別超過200種敏感內容,大幅提升偵測效率。這是全球目前針對AI資安最新解決方案。國際戰略:各國資安布局與台灣的應對歐美與亞洲主要國家近年陸續發布資安戰略:美國:在《國家安全戰略》中強調大幅投資資安產業與創新技術,並推動行政命令EO 14028加強供應鏈安全。歐盟:推動NIS2、CRA等新規範,提升成員國韌性並加強協作。日本:2021年發表第三版《網路安全戰略》,呼應後疫情數位社會需求。英國:2022年《國家網路戰略》聚焦企業防禦與國際合作。相較之下,台灣身為出口導向國家,資安不僅是國安問題,更與產業鏈競爭力直接掛鉤。數發部資安署規劃在四年內投入至少88億元,培育1500名專業人力、提升資安產值至1,200億元,並建置政府骨幹網路AI防禦機制,逐步實現「智慧國家」願景。Zscaler台灣總監莊劍偉:跨域團隊與國際合作成關鍵Zscaler台灣總監莊劍偉指出,單靠技術無法全面應對新世代威脅,必須結合技術、情報與安全專家,組建跨域團隊,強化Secure AI、Secure Autonomous、Secure Medical Devices等產業的資安方案,才能有效預測攻擊路徑並制定防禦策略,莊劍偉也呼籲台灣應積極參與國際合作,推動資安標準互認,並建立針對智慧製造、醫療器材、太空產業等關鍵領域的資安合作框架,以便在全球供應鏈中鞏固地位,可以預見,台灣若能結合AI創新、零信任架構與跨國合作,不僅能抵禦日益複雜的資安威脅,更有機會在2030年前,成為全球智慧時代的資安產業領導國。
以惡制惡!打擊加密貨幣盜竊與網路詐騙 美議員提案復刻「18世紀私掠令」反擊
美國國會近日提出一項極具爭議性的法案,準備授權國家認可的「海盜」對網路犯罪分子展開打擊。根據《Cointelegraph》報導,亞利桑那州(Arizona)聯邦眾議員施韋克特(David Schweikert)於8月提出《2025年詐騙農場私掠許可授權法案》(The Scam Farms Marque and Reprisal Authorization Act of 2025),主張總統可發出私掠狀,讓經政府認證的私人個人或團體,行使類似海盜的執法權力,針對被認定為國安威脅的網路犯罪分子進行財產扣押與處罰。法案特別列明,加密貨幣竊盜、「殺豬盤」詐騙、勒索軟體攻擊、身份竊盜、未經授權存取電腦、惡意程式攻擊等行為,都是重點打擊對象。文件將這些犯罪行為描述為現代「戰爭行為」,不僅針對個人,還涉及有組織犯罪及外國政府對美國利益的侵害。施韋克特表示,這套制度仿效18世紀「私掠狀」模式,未來將對資安威脅與非法資產扣押帶來深遠影響。在美國國內,相關執法案例屢見不鮮。例如今年7月,加密貨幣資產被盜總額超過1.42億美元,截至2025年已突破30億美元。美國聯邦調查局(FBI)達拉斯分部曾行動沒收Chaos勒索軟體組織的20顆比特幣,價值超過230萬美元。美國司法部(DOJ)也自BlackSuit勒索軟體組織中沒收價值100萬美元的加密資產。8月時,司法部還從伊亞尼斯.阿列克桑德羅維奇.安特羅潘科(Ianis Aleksandrovich Antropenko)手中,扣押了價值280萬美元的加密貨幣,這些資產多半來自對企業與個人的勒索攻擊。事實上,美國總統川普(Donald Trump)已於1月已簽署行政命令,設立比特幣及加密貨幣儲備。此一儲備僅能透過預算中立機制或資產沒收方式取得新資產。根據現行運作,執法單位沒收的加密貨幣經法院程序後,通常歸為政府資產。施韋克特認為,透過賦予總統更大彈性,可直接授權私人團體協助追查與沒收網路犯罪資產,以因應日益嚴峻且快速演變的資安威脅,對抗各類勒索與詐騙行為。倘若法案通過,未來美國執法機關將結合民間資安力量,共同打造網路治理的新局面。
勒索超過3.7億!俄駭客集團BlackSuit被抄家 美司法部扣回黑幣、伺服器全沒收
美國司法部(U.S. Department of Justice)於11日宣布,已成功從散布勒索軟體BlackSuit與Royal的俄羅斯網路犯罪集團手中,查扣價值約100萬美元的比特幣資產,並關閉多個伺服器與網域。這項行動由美國、加拿大、德國、愛爾蘭、法國及英國等國的執法機關共同參與。此行動的執行日期為7月24日,當天調查人員共查扣4台伺服器與9個涉案網域,同時凍結相關加密貨幣資產。根據《TechCrunch》報導,雖然BlackSuit與Royal屬於不同型態的勒索軟體,但調查顯示,它們皆出自同一俄羅斯駭客集團,該集團長期鎖定美國與其他多國的關鍵基礎設施作為攻擊目標。美國網路安全暨基礎設施安全局(CISA)曾指出,BlackSuit勒索團隊歷來總計開價超過5億美元的贖金,單筆最高索求金額達6,000萬美元,顯示其獲利規模驚人,且對受害機構帶來嚴重威脅。美國司法部國安事務助理部長艾森伯格(John A. Eisenberg)表示,BlackSuit對美國重要基礎設施的攻擊行動,對公共安全構成重大威脅,必須透過跨國合作予以強力打擊。本次行動由美國移民與海關執法局國土安全調查部門(ICE's Homeland Security Investigations)主導,調查期間發現,自2022年以來,Royal與BlackSuit已對美國境內超過450個目標發動攻擊,對象涵蓋醫療機構、教育單位、能源設施、公共安全單位與政府機關,累計勒索金額已超過3.7億美元。司法部指出,這次成功追回的比特幣資產,原本存放於某家數位貨幣交易所的帳戶內,該帳戶資金早在2024年1月就遭凍結,直到2025年8月才完成資產移轉與正式查扣。
美軍機零件商淪駭客勒索目標 波音、洛馬軍事機密恐外洩
美國航太零組件供應商捷美航太公司(Jamco Aerospace Inc.)近日被知名網路犯罪組織「Play」勒索軟體集團列為最新攻擊目標。這家總部設在紐約長島的企業,長期為美國海軍、波音(Boeing)、諾斯洛普格魯曼(Northrop Grumman)、以及洛克希德馬丁(Lockheed Martin)等國防與商用飛機製造商,生產精密加工零件與結構性組件。Play已在暗網洩漏平台公布公司名稱,並威脅若不支付贖金,將在8月10日釋出竊得的資料。根據《cybernews》報導,捷美航太的業務涵蓋從投標、工程設計到製造、檢驗與運輸的全流程,產品範圍廣泛,包括小型車削件、大型鑄件,以及飛機配電箱、起落架零組件、船體閥門與機翼折疊接頭等。雖然目前尚未確認攻擊是否影響公司運作,但Cybernews檢測顯示,公司網站仍可開啟,只是在Google瀏覽器中會出現安全性警告。Play並未公布竊取資料的具體數量或範例,但聲稱已取得包括客戶文件、預算、薪資、稅務、身分證明與財務資料等敏感內容,並已加密檔案,阻止公司存取。該集團還透露,在提出「合理價格」的贖金要求前,會先調查受害企業的收入與支出,若拒付贖金,將在公開資料前提前通知合作夥伴與客戶。報導中提到,捷美航太成立於1967年,原名為捷美儀器公司(Jamco Instruments),1984年由現任執行長傑克(Dr. Jack Lee)收購並改名,與日本同名的捷美公司(Jamco Corp.)並無關聯。由於航太與國防產業涉及龐大專利與國防合約資料,一直是勒索軟體集團的高風險目標。今年1月,美國國防部承包商Stark Aerospace曾遭INC Ransom集團攻擊,波音公司在2023年底也被LockBit入侵並影響業務。Play自2022年現蹤以來,已聲稱發動超過800起攻擊案,光是過去一年就有350起,主要鎖定美國、加拿大、拉丁美洲與歐洲。近期受害名單包括芝加哥WFMT廣播電台、與常春藤盟校合作的Study Hotels,以及Krispy Kreme甜甜圈連鎖店。美國聯邦調查局(FBI)曾警告,該集團採用「雙重勒索」策略,先外洩資料再加密系統,並利用遠端監控軟體及Fortinet防火牆漏洞入侵系統。這個組織同時是最早採用「間歇性加密」的勒索軟體團隊之一,只加密部分資料區段,以加快竊取與加密速度。其他知名集團如ALPHV/BlackCat與BianLian也已跟進。過去,Play曾癱瘓加州奧克蘭市、愛荷華州帕洛阿爾托縣警長辦公室,以及羅德島懷亞特最高安全級拘留中心長達一個月,並對雲端服務商Rackspace、德國H-Hotels與BMW法國發動攻擊。
FBI扣回240萬美元比特幣 美政府提告搶先聲請沒收歸公
目前有消息指出,美國政府正向法院提出主張,要求沒收一筆價值超過240萬美元的比特幣(Bitcoin),該筆資金為聯邦調查局(FBI)在2025年4月從一個與勒索軟體組織相關的地址中查扣所得。這筆數位資產的來源被認定與洗錢和破壞電腦等非法行為有關,屬於違法所得或是用於非法行動的資產。根據《The Daily Hodl》報導,這場民事訴訟是日前由美國司法部(Department of Justice)向德州北區地方法院(Northern District of Texas)提出,案號為3:25-CV-01920-K。當時查扣的比特幣共計20.2891382枚,儲存在一個位址為bc1q5d8af0crjhlnepjq08muhh55899rf2ktye3sxd的加密錢包內。這個錢包據稱與一個名為「Hors」的勒索組織成員有關,而該勒索組織與另一個名為「Chaos」的網路犯罪團體存在高度關係。美國聯邦調查局達拉斯辦事處在今年稍早發動行動,成功從這個加密貨幣地址中追回遭勒索得手的資金,後續調查顯示,這筆資金與德州北區及其他地區的多起網路攻擊案件相關。這起查扣行動也讓川普政府先前提出的「戰略比特幣儲備」計畫重新受到關注。總統數位資產顧問委員會(Presidential Council of Advisors on Digital Assets)執行董事海恩斯(Bo Hines)日前透露,政府正在積極尋找各種方式累積更多比特幣資產。海恩斯過去曾提到,無論是透過關稅還是其他形式的徵收,美國都有可能以各種創新方式取得比特幣。他強調「我們會確保不遺漏任何細節,因為我們希望擁有盡可能多的比特幣。」
台灣受網攻頻率亞太最高!每週遭逾4千次攻擊 3大產業最慘
根據全球資安大廠「Check Point Software Technologies Ltd.」旗下威脅情報部門Check Point Research於24日發布的最新調查顯示,2025年第二季全球企業與組織平均每週遭受1984次網路攻擊,較2024年同期增長21%,與2023年相比則大幅成長58%。其中,台灣所面臨的網路攻擊情況尤為嚴峻,平均每週遭攻擊高達4055次,為全球平均值的兩倍,居亞太地區之冠。報告指出,今年1月至7月初,台灣受攻擊最頻繁的三大產業分別為硬體供應商、政府與軍事機構及製造業。硬體產業每週平均遭攻擊8139次,政府與軍事機構為5042次,製造業則達4983次,顯示台灣關鍵產業成為高度攻擊目標。在惡意軟體方面,Check Point Research指出,台灣最常遭遇的類型包括遠端存取木馬(如 Remcos、Agent Tesla)、竊密軟體(如 Androxgh0st、AZORult)及殭屍網路(如 Androxgh0st)。而資訊外洩則為台灣最常見的漏洞類型,影響範圍高達78%的組織,反映資安防護尚有提升空間。放眼全球產業別攻擊統計,教育與研究機構為受攻擊最頻繁類型,每週平均達4388次,年增幅31%,原因多與資安投入不足及學生、教職員的個資價值相關。政府與軍事機構排名第二,每週平均2632次攻擊,主因在於其擁有的敏感資料與對地緣政治的潛在影響。通訊業則以2612次居第三,年增幅高達38%,顯示掌握大量用戶資訊的產業也已成為駭客集中火力的目標。Check Point Research也給出資安建議,組織需採取主動的策略包含:強化威脅預防能力:導入如入侵防禦系統(IPS)、防勒索軟體工具與威脅情資等先進資安技術,阻擋潛在的資安威脅。 提升端點與網路防護:部署功能完善的防火牆、電子郵件安全機制與端點保護平台(EPP)降低攻擊面。加強使用者資安意識:定期進行資安訓練與釣魚模擬演練,協助員工識別並通報可疑行為。 確保備份與復原機制:建立更新且分隔的備份資料,並定期測試復原流程,以減少勒索攻擊或其他中斷所造成的影響。 導入零信任架構:持續以使用者權限驗證、網路資源分段,降低橫向移動風險。 確保掌握資訊:持續關注威脅情資與警示,預先掌握潛在風險。確保掌握資訊:持續關注威脅情資與警示,預先掌握潛在風險。
以色列砲轟「駭客團體重出江湖」 Pay2Key對美以發動網攻「獲利1.17億」
與伊朗有關的勒索軟體(RaaS)Pay2Key,近期重新現身,並開始針對以色列與美國發動網路攻擊,背後提供的獲利誘因比過往更高,成為近期資安界關注焦點。該行動以Pay2Key.I2P之名重新啟動,與知名駭客組織Fox Kitten(又稱Lemon Sandstorm)有密切聯繫,並被認為與Mimic勒索軟體存在合作關係。根據《Cybernews》報導,Morphisec資安研究員庫爾明(Ilia Kulmin)表示,Pay2Key.I2P結合了Mimic的勒索技術,且公開向支持伊朗或參與針對伊朗敵對國家攻擊的犯罪者提供80%的利潤分成,比先前的70%更為優渥,這反映出背後組織在意識形態上的鮮明立場。事實上,美國政府早前就曾揭露,該類與伊朗有關的進階持續性威脅(APT)組織,曾與NoEscape、RansomHouse及BlackCat(又稱ALPHV)等團體合作,透過各種方式發動勒索攻擊。伊朗駭客利用Pay2Key的記錄可追溯至2020年10月,當時曾鎖定以色列企業,手法多為利用既有資安漏洞。目前Pay2Key.I2P再次現身,並宣稱在短短四個月內已成功勒索51筆贖金,獲利超過400萬美元(折合新台幣約1.17億元),個別參與者平均可分得10萬美元以上。儘管表面上以財務利益為目標,該行動實際隱含濃厚的意識形態色彩,其攻擊對象鎖定以色列與美國,顯然不僅為了金錢而來。此次重新登場的Pay2Key.I2P,更被認為是首個已知直接架設於Invisible Internet Project(I2P)之上的RaaS平台,與過去僅將I2P作為指揮與控制(C2)通訊管道不同。瑞士資安公司PRODAFT曾於3月發文示警該平台異常行為,該內容隨後也被Pay2Key.I2P官方帳號轉發確認。更引人注意的是,該組織於俄羅斯暗網論壇以名為「Isreactive」的帳號發文,公開宣稱任何人只要支付20,000美元即可部署此勒索軟體,並承諾每筆成功攻擊將給予報酬,徹底改變傳統RaaS的運作模式。庫爾明認為,這套新模式讓開發者從單純販售軟體轉向直接分潤勒索所得,建立更為去中心化的犯罪生態系統。截至今年6月,Pay2Key已擴充功能至支援Linux系統,Windows版本則透過自解壓(SFX)封裝檔傳遞。為規避偵測,其新版本內建多種技術,可於攻擊時關閉Microsoft Defender防毒,並自動清除惡意程式殘留物,降低遭取證機會。根據SonicWall Capture Labs觀察,該勒索軟體還利用偽裝成Microsoft Word文件的可攜式執行檔進行初步感染,進一步透過cmd檔啟動加密程序與投放勒索信。Morphisec指出,這場行動展示了伊朗國家級網路戰與全球網路犯罪的融合風險,累積贖金已逾400萬美元,並對西方組織構成實質威脅。
160億筆帳密外洩「蘋果、META、Google全中招」 有兩階段驗證也沒用「Cookies也外流」
近期爆發一起有史以來規模最大的帳密外洩事件,總計高達160億組帳號密碼在網路上曝光,牽涉範圍涵蓋Apple、Google、Facebook、Telegram、GitHub與多項政府與企業服務。根據《Cybernews》研究,這些資料並非舊資料回鍋,而是來自近期的資訊竊取行動,且絕大多數是被惡意軟體所擷取。根據《Cybernews》報導指出,這些紀錄分散在30個不同的資料庫,單一資料庫內最多包含35億筆資料,平均每筆資料集則約有5.5億筆。即使部分資訊重複,整體數量仍具驚人規模。研究團隊發現,這些資料庫結構清晰,常以網址搭配帳號密碼呈現,許多還附加Cookies、Session權杖與自動填入的瀏覽器中繼資料,能讓攻擊者直接繞過兩階段驗證(2FA)系統,入侵用戶帳號。《Cybernews》資安研究員迪亞琴科(Bob Diachenko)強調,這不僅是一場單純的資料外洩,而是一份「攻擊指南」,足以為釣魚詐騙、勒索軟體與企業郵件詐騙(BEC)行動提供「彈藥」。迪亞琴科表示,目前尚未出現證據顯示Apple、Facebook或Google本身發生過集中式資料外洩,但用戶憑證中已明確出現指向這些平台的登入網址,這意味著,帳號資訊可能是在用戶端被盜取。研究也發現部分資料庫的命名可能顯示潛在來源,例如一筆含4.55億筆紀錄的資料庫,其顯示來自俄羅斯聯邦(Russian Federation),另有一筆6000萬筆資料的集合則命名為Telegram。規模最大的資料庫紀錄超過35億筆,似乎與葡萄牙語族群有關。資安研究人員強調,這些包含Cookies與Session資料的憑證外洩事件,對未啟用雙重驗證或未定期清理登入資訊的用戶與組織構成極大風險。因為Cookies與Session資料可讓攻擊者無需輸入密碼和一次性驗證碼,即可模擬合法用戶登入,尤其對許多未自動清除登入狀態的系統來說,幾乎毫無防禦能力。回顧過去幾起重大資料外洩事件,這次160億筆資料的洩漏與2024年被稱為「所有外洩之母(Mother of All Breaches,MOAB)」的260億筆紀錄相互呼應。當年還曾出現名為「RockYou2024」的外洩包,內容包含近百億筆獨立密碼。此外,日前也發生中國用戶資料大量外洩的事件,影響涵蓋微信(WeChat)、支付寶(Alipay)與個資金融紀錄。面對龐大資料外洩風險,研究人員建議使用者務必啟用多重驗證(MFA)、定期更換密碼、避免重複使用舊密碼,並善用密碼管理工具建立獨特密碼組合。若有系統支援登入紀錄與安全警示,也應啟用監控功能,第一時間辨識異常行為。報導中指出,許多駭客是藉由使用資訊竊取工具來完成資料蒐集。這些惡意程式常藉由盜版軟體、受感染的PDF、遊戲模組等形式植入用戶裝置,一旦入侵成功,便能持續擷取憑證、Cookies、瀏覽紀錄、文件與內部工具資訊,最終在暗網販售或彙整為資料集用於後續攻擊。研究團隊警告,駭客甚至無須百分之一的成功率,只要憑藉這類大規模資料集中微小的命中率,便足以開啟數百萬筆帳號的大門。
俄羅斯招募「未成年間諜」 比特幣成情報單位「付款」主流貨幣
年僅17歲的加拿大少年帕文(Laken Pavan)在2024年捲入俄羅斯情報機構的間諜行動,他的被捕不但讓外界窺見俄羅斯如何招募青少年從事間諜工作,也揭露一條以比特幣為主的資金流動網絡。根據《路透社》報導指出,這起間諜事件發生在波蘭,帕文目前正在拉多姆(Radom)附近的監獄服刑,刑期為20個月。《路透社》為此查閱超過1,400頁的波蘭法院文件,帕文是在2024年5月自俄佔區頓內茨克(Donetsk)返歐後,前往哥本哈根(Copenhagen)與華沙(Warsaw)等地執行俄國交付的任務。執行任務期間,帕文與一名化名「斯隆(Slon)」的俄羅斯聯邦安全局(FSB)幹員透過Telegram保持聯繫,並以比特幣作為報酬。當他資金短缺時,便向斯隆求助,斯隆便會透過兩個加密貨幣錢包匯款,總金額超過500美元。帕文於2024年5月在波蘭一家廉價旅館因酗酒與精神不穩自行報警,他向警方坦承受,自己受到FSB招募,並打算蒐集波蘭軍事情報。帕文被捕後,便於2024年12月遭定罪。考量年齡與認罪態度,法院給予低於5年標準的刑期。他在獄中度過18歲生日,預計若未假釋將於2026年1月出獄。帕文的間諜旅程始於2024年4月,他從加拿大出發,經伊斯坦堡進入俄羅斯,在「國際旅團(Interbrigades)」的協助下進入頓內茨克,短暫參與學校重建志工工作。當地幹員告知他因年齡未滿18歲,無法加入俄軍,改由FSB指派蒐情任務。帕文被威脅若不服從將喪命,承諾可換取俄國國籍與住房,並被交由斯隆指導。FSB指示帕文進入歐洲後要「遺失護照」以掩蓋行蹤,並安排拍照蒐情、接近烏克蘭軍方的任務。帕文於5月14日抵哥本哈根,開始與斯隆密切聯絡,後者要求他購買新手機、設立假Instagram帳號,還發送由不知情的女子大頭照製成的假帳號作為掩護。帕文在丹麥遇到美國軍事承包商,斯隆立即鼓勵他接近對方,但他很快因資金耗盡向母親求援。帕文最後一次與斯隆聯絡是在2024年5月22日,當時帕文剛抵達華沙,對方提醒他盡快辦護照並聯繫父親與前軍事指揮官。不到12小時後,帕文被波蘭警方拘留。帕文的母親尼爾森(Andelaine Nelson)表示,直到兒子求助時,自己才得知他在歐洲。她試圖為兒子籌募返回加拿大的後續費用,但網路上湧現大量惡意留言與攻擊,募資進展緩慢。除了年僅帕文被捕事件本身外,更讓歐洲安全官員與情報界震驚的是,背後支撐這場間諜行動的網路與資金機制的複雜程度。根據波蘭法院文件與《路透社》調查,帕文與俄羅斯聯邦安全局(FSB)幹員斯隆之間的所有聯繫,皆透過Telegram進行,指令具體、頻繁,並以加密貨幣作為主要的報酬與資金供應方式。最關鍵的線索來自於帕文持有的兩個比特幣錢包。這些錢包由一個名為「bc1q9」開頭的主控錢包供應資金,而該主錢包自2022年6月至2024年已處理超過6億美元的交易。經由區塊鏈分析公司Global Ledger與Recoveris的合作比對。研究人員指出,這個主錢包與俄羅斯的Garantex交易所關係密切。而Garantex交易所因經常被用於洗錢與資助俄方非法行動,已於2023年被美國財政部與歐盟列入制裁名單,。而這起事件中,這個主錢包疑似為一個匯集型熱錢包(hot wallet hub),用於將加密貨幣從不同來源洗白,包含從勒索軟體攻擊、非法軍火交易、以及像帕文這樣的間諜任務。加密貨幣在流入主錢包後,通常會透過數十次轉帳「剝洋蔥」式地切割為小額,再透過去識別化工具如加密混幣器(mixer)進一步模糊來源,再從不同出口錢包發送到任務執行者手中。帕文收到的三筆款項,每筆約在150至200美元之間,這些款項皆經過近乎洗錢的方式處理過,單是從主控錢包轉出後,比特幣至少跳過六層中介才到帕文手中。有專家表示,這些加密資金操作涉及分拆、混淆與多重轉帳,為典型的洗錢模式。全球見證組織(Global Witness)表示,俄羅斯自2022年全面入侵烏克蘭以來,便加速利用黑市加密金融網絡來規避金融封鎖,並資助包括駭客、傭兵與間諜在內的多種代理人活動。Garantex僅是其中一環,在其網路被擊潰前,美國司法部曾警告其服務已成為「俄羅斯境外行動的隱形基礎建設」。調查人員也發現,斯隆並非孤立個體,而是更大規模招募網的一員。與帕文對話的帳號來自與多名烏克蘭前線志工、俄佔區居民互動過的IP範圍,顯示這些幹員透過Telegram與Instagram主動搜尋具親俄傾向或心理脆弱的年輕人進行「投餌」,承諾報酬、庇護或俄國國籍換取情報任務的服從。帕文雖是目前唯一確認被捕的未成年特工,但專家警告,這種以加密報酬為誘餌的「代理間諜」模式正快速擴散,並有跨境招募跡象。英國前國防官員、現任安全研究員帕里(Chris Parry)表示,這類加密貨幣網絡的操作方式「極具現代戰爭混合性」,難以透過傳統監控偵破,特別當資金流通橫跨非盟司法系統與俄羅斯保護傘時「這不是冷戰式的刺殺或密會,而是Telegram訊息加上比特幣支付的新式間諜行動。」目前,波蘭與歐盟正考慮擴大針對這類加密貨幣工具的監管手段。歐盟執委會內部有提案,要求成員國對於匿名錢包交易與混幣器進行技術封鎖與資金源調查,但在執行層面仍面臨龐大障礙。與此同時,歐洲安全機構正在追查帕文所接觸的多個Telegram帳號來源,以及是否還有其他受害或被招募青少年尚未曝光。
盜版LINE以假亂真!誤下載「帳號密碼恐遭竊」 官方教2招自保
近期有不肖人士在搜尋引擎上架外觀看起來與LINE官方網站非常相似的假網站,讓人以為是真的LINE官方網頁。這些網站甚至寫了內容看似貼心的文章,例如「LINE電腦版安全嗎?」等,吸引用戶下載他們提供的安裝程式,然而其中可能藏著大陷阱!LINE官方表示,不肖人士提供的並不是正版的LINE應用程式,而是植入了惡意程式的勒索軟體。一旦用戶下載並安裝,他們不僅能竊取LINE帳號密碼,還可能進一步綁架或竊取電腦與手機中的重要資料。更危險的是,這些假網站有時甚至連網址都看起來和官方正版網站非常相似,稍不留神就可能上當。LINE官方特地分享兩招破解詐騙陷阱:1、檢查網站細節透過搜尋引擎關鍵字搜索LINE的軟體下載時,請特別注意網址是否為「https://www.line.me/」。進入網站後,也請特別留意該網站是否使用簡體中文或者使用非台灣用語,如有類似發現,該網站即為假網站,需提高警覺!2、永遠從官方管道下載應用程式建議使用電腦或手機作業系統內建的應用程式商店安裝LINE的應用程式,如Android Google Play、Apple App Store、微軟Microsoft store或者是直接到「https://www.line.me/」官方網站下載應用程式,這樣可以大幅降低安裝到惡意程式的風險。LINE官方提醒,詐騙手法層出不窮,但只要用戶提高警惕,從官方管道下載應用程式,謹慎對待每個連結,就能有效保護自己的帳號和資料。
FBI嚴正示警!300家關鍵基礎設施機構遭駭 這款勒索病毒曾害學校洩漏數十萬份個資
美國聯邦調查局(FBI)與美國網路安全與基礎設施安全局(CISA)近日對一款名為Medusa的勒索軟體發出警告,這款「勒索軟體即服務」(RaaS)自2021年起便持續攻擊各大機構,近期受害者人數更大幅上升。根據CISA報告,Medusa主要透過網路釣魚手法竊取受害者憑證,並利用漏洞滲透企業與政府機構系統,攻擊對象涵蓋醫療、教育、法律、保險、科技與製造業等產業。 先前也曾害一間學校因此洩漏數十萬份學生敏感個資。綜合外媒報導指出,Medusa採用雙重勒索模式(double extortion model),在加密受害者數據後,威脅若不支付贖金,將公開洩漏這些資料。該組織設有資料洩漏網站,會列出被攻擊的受害機構,並附上倒數計時器,顯示何時將公開資料。受害者可以支付1萬美元的加密貨幣來延長倒數計時一天,若未支付贖金,數據則可能被販售給第三方。CISA指出,自今年2月以來,Medusa已攻擊超過300家關鍵基礎設施機構,其中包括政府機構、金融企業與教育機構等。該組織的附屬駭客利用CVE-2024-1709(影響遠端存取工具ScreenConnect的漏洞)與CVE-2023-48788(影響Fortinet安全產品漏洞)來發動攻擊,滲透系統後再展開勒索行動。 與部分單獨運作的駭客組織不同,Medusa採用附屬模式(affiliate model),也就是開發者負責管理勒索談判,而實際執行入侵的則是透過網路犯罪市場招募來的駭客,這些駭客可以獲得100至100萬美元不等的報酬,甚至有機會成為Medusa的獨家合作夥伴。 當受害者的系統被感染後,Medusa會要求受害者在48小時內回應,若無回應,駭客將直接透過電話或電子郵件聯繫對方,並進一步威脅公開資料。FBI的調查顯示,一些支付贖金的受害者甚至會再次遭到Medusa成員勒索,對方聲稱「原先的談判代表竊取了贖金」,並要求受害者再支付一半的款項才能取得真正的解密工具,這代表著該組織可能正在實施「三重勒索模式(triple extortion)」。Medusa最廣為人知的攻擊案例發生於2023年,當時該組織入侵明尼阿波利斯公立學校(Minneapolis Public Schools),導致數十萬份學生資料外洩,影響超過10萬人。此外,該組織的攻擊對象遍及全球,包括太平洋島國東加(Tonga)、法國市政府機構、菲律賓政府機構,甚至一家由加拿大兩大銀行聯合創立的科技公司也在其中。過去美國伊利諾州(Illinois)與德州(Texas)的政府機構也曾遭受攻擊,而最近 Medusa宣稱入侵了科羅拉多州奧羅拉市(Aurora, Colorado)政府單位,但當地官員否認了這一說法。 FBI強調,Medusa與MedusaLocker及Medusa移動惡意軟體變種無關,這是一個獨立的勒索軟體組織。Medusa最初是一個由駭客與開發者組成的封閉團隊,但隨著其運營規模擴大,開始以附屬模式招募更多駭客,透過網路犯罪論壇與黑市尋找有能力的駭客來幫助入侵系統,然後再由核心成員進行勒索談判與資金管理。 CISA表示,Medusa目前仍在持續擴展攻擊範圍,各機構應提高警覺,並採取有效的資安防禦策略,包括定期更新系統、採用強密碼、啟用多重身份驗證,並加強員工對網路釣魚攻擊的防範意識。此外,政府機構與企業應定期備份重要數據,確保即使遭受攻擊,仍能透過備份還原系統,避免支付贖金。
日本電信巨頭遭駭客入侵 近1.8萬企業資料遭外洩「受影響人數尚不明確」
日本電信巨頭NTT(NTT Communications, NTT Com)於5日證實,公司內部設備遭不明人士未授權存取,導致多達17,891家企業客戶資料可能已經外洩,其中包括客戶名稱、合約編號、電話號碼、電子郵件地址、實體地址以及服務使用資訊。但目前尚未確認有多少員工的個人資料受到影響,受害企業名單也尚未公開。綜合外媒報導指出,NTT是在2月5日偵測到內部網路中的「訂單資訊流通系統」(オーダ情報流通システム)出現異常存取,當時立即對系統內的設備A實施存取限制。經過進一步調查,2月6日確認該系統內的部分資訊可能已經外洩。隨後,公司在2月15日發現內部網路中的另一台設備B也遭駭客入侵,並於當天將該設備從內部網路隔離。至於駭客入侵設備B的方式及具體技術細節,NTT通訊表示「不予回應」。由於此次駭客攻擊規模龐大,NTT通訊已經展開強化安全措施,並表示將重新檢討公司內部所有系統的通訊路徑,進一步提升網路監控機制,以防止類似事件再次發生。但目前仍不清楚攻擊的幕後黑手為何,攻擊方式也尚未完全釐清。此外,至今尚無任何主要的勒索軟體組織聲稱對這次攻擊負責。報導中提到,電信業者近年來頻頻成為駭客組織的攻擊目標,尤其那些受到國家支持的駭客組織與網路犯罪集團。2024年9月,有報導指出,與中國有關的駭客組織「Salt Typhoon」已成功入侵多家美國電信與網際網路公司,企圖獲取美國高級政府官員的私人通訊記錄。一份最新報告也提到,「Salt Typhoon」仍在持續針對電信供應商進行攻擊。此外,許多網路犯罪集團也鎖定電信公司的通話記錄資料庫,以便進行後續的網路攻擊。