勒索軟體威脅升溫，攻擊手法日趨複雜

Hao Chen Lu
3月28日
讀畢需時 6 分鐘

已更新：7月2日

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心

近期，勒索軟體攻擊事件在全球範圍內持續升溫，台灣也成為駭客攻擊的目標之一。多個行業陸續傳出遭攻擊的案例，包括醫療機構、學校及上市櫃公司等。根據研究，駭客組織Crazyhunter、Nightspire及UAT-5918等，已在台灣發動數起攻擊，對相關機構的資訊安全造成嚴重威脅。根據 CYFIRMA的研究報告，2025 年 2 月全球勒索軟體攻擊事件急遽攀升，總計高達 956 起，較 1 月增加了 87%。其中，以 Clop 勒索軟體集團最為活躍，受害案例達 332 起；而 Play 勒索軟體的攻擊範圍與規模亦愈來愈大。報告指出，在歐洲地區，特別是醫療保健產業，攻擊者已開始利用 Check Point 網路閘道的漏洞(CVE-2024-24919)進行攻擊，並部署 PlugX 與 ShadowPad 惡意程式，再透過 NailaoLocker 進行勒索。部分駭客組織也針對亞洲特定產業展開攻擊行動。例如，Emperor Dragonfly 便對一家亞洲軟體公司發動 RA World 勒索軟體攻擊，並勒索 200 萬美元。該組織自 2024 年中至 2025 年初間，亦針對東南歐及亞洲政府機構與電信業者發動攻擊。 2025 年 2～3 月勒索軟體攻擊趨勢全球勒索軟體攻擊數量大幅上升，製造業與醫療保健產業受害情況尤為嚴重。攻擊者持續利用已知漏洞(CVE-2024-24919)，對歐洲醫療機構進行滲透攻擊。勒索手法日趨複雜，結合偽裝文件與雙重勒索策略(Double Extortion)。攻擊台灣之駭客組織活動概況近期，台灣成為多個駭客組織的攻擊目標，這些組織利用勒索軟體對企業發動攻擊，造成重大的資訊安全的影響，其中駭客組織Crazyhunter、Nightspire及UAT-5918針對各行各業進行網路攻擊，並要求高額贖金。這些攻擊不僅對企業構成威脅，也引發各界對資安防護與風險管理的廣泛關注。。 Crazyhunter 此勒索軟體集團近期針對台灣醫療機構頻繁發動攻擊，導致系統癱瘓與個資外洩。其攻擊模式結合「極速滲透與防禦突破」(Ultra-fast attack approach)與「三維資料殲滅系統」(Three-dimensional Data Annihilation System)，並運用 AI 及深度偽造技術強化攻擊與製造虛假證據。近期發現攻擊者透過破解帳號的弱密碼，並利用 Active Directory(AD)設定錯誤的漏洞，成功入侵內部系統，接著使用「自帶驅動程式攻擊(Bring Your Own Vulnerable Driver, BYOVD)」的手法，包括植入修改過的 Zemana 驅動程式，來繞過資安防護機制、取得更高權限。隨後，攻擊者透過群組原則(GPO)在內部網路橫向移動，將惡意程式散布到重要的系統中，對內部資料進行加密，並且向受害單位進行勒索。自 2025 年 3 月初以來，已對台灣三個不同產業發動攻擊，嚴重衝擊醫療服務與資料安全。 Nightspire Nightspire為新興駭客組織，擅長透過暗網入口網站結合心理恐嚇手法實施雙重勒索。攻擊手法包括入侵系統、竊取敏感資料並加密，再以公開洩漏資料為威脅向受害者索取贖金。其資料洩漏網站(Data Leak Site, DLS)會列出受害者清單，並顯示資料公開倒數計時器。近期已公布多起香港與台灣企業的攻擊事件，造成敏感資訊外洩，對業務運作與客戶資料安全造成嚴重威脅。 UAT-5918 針對台灣關鍵基礎設施攻擊的 APT 組織，自 2023 年起針對台灣關鍵基礎設施展開滲透行動，目標產業包括電信、醫療保健及資訊科技等。其主要手法為利用 N-day 漏洞取得初始存取權限，進一步透過開源工具(如 FRPC、FScan、Earthworm)與 Web Shell 技術竊取使用者憑證並建立後門，以進行長期監控與資料竊取。隨著勒索軟體攻擊日益複雜且具針對性，政府與企業必須加強資安防禦措施，尤其是關鍵基礎設施與高風險行業。建議重點如下：強化漏洞管理與修補機制，避免成為攻擊跳板。提升事件應變能力，確保一旦發生攻擊能快速復原。深化威脅情報分析與即時監控機制，提前掌握潛在威脅。透過持續監測、主動防禦與全面資安策略，以降低勒索軟體所帶來的營運風險與損失。

勒索軟體威脅升溫，攻擊手法日趨複雜

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心

最新文章

留言