報導摘要

Picus Security 的《2025 年藍色報告》揭示了網路安全防禦是多麼容易被削弱。該報告基於超過1.6億次入侵和攻擊模擬 (BAS) 結果，發現整體防禦有效性將從2024年的69%下降到2025年的62%。這項數據表明，儘管企業投入大量資源在安全防護上，但隨著威脅的演變，現有防禦措施的有效性正在逐漸減弱。最令人擔憂的發現是資料外洩防禦的崩潰：有效性從去年本已低得令人無法接受的9%驟降至僅3%。這使得企業在勒索軟體集團最常利用的階段（即資料加密和勒索前的外洩）暴露在極高的風險之中。分析結果後，我們很快就能明白，勒索軟體的防禦能力不能想當然，必須經過驗證。

報告明確指出，假設並不等於保護。未經驗證的防禦在最重要的時候將繼續失敗，而今年的藍色報告清楚地表明了這一點。在最缺乏防範的十大勒索軟體中，有五種是新的或正在出現的，但它們繞過防禦措施的效果與老牌勒索軟體一樣好。這意味著，無論威脅是新是舊，其規避防禦的能力都同樣強大。

1. 已知家族仍能得逞： 報告詳細列舉了多個持續構成威脅的已知勒索軟體家族。BlackByte以26%的低防禦率，連續第二年成為最難防範的勒索軟體。它利用面向公眾的應用程式漏洞進行攻擊，並在加密資料前進行資料竊取，實施雙重勒索。BabLock（34%）也持續透過雙重勒索手段向受害者施壓，其威脅模式結合了資料加密與公開資料的威脅。Maori（41%）則利用無檔案傳送和區域性攻擊活動，使其難以被傳統安全軟體檢測。這些老牌家族的持續存在，凸顯了在現實環境中，防禦措施很容易因配置不當或缺乏更新而被削弱。
2. 新興勒索軟體的攻擊力同樣強勁： Picus報告也揭示了新興勒索軟體的強大攻擊能力。FAUST（44%）、Valak（44%）和Magniber（45%）等新興威脅，透過登錄檔修改、模組化負載和分階段執行等複雜技術來繞過傳統安全控制。這些新興勒體近一半的攻擊都獲得了成功，證明新名稱的威脅在野外迅速生效，並且能夠適應不斷變化的防禦環境。這也意味著企業必須持續更新其威脅情報，以應對這些新興威脅。
3. 知名企業也紛紛適應： 即使是一些已廣為人知的勒索軟體，其攻擊手段也在不斷進化。BlackKingdom（48%）、Black Basta（49%）和 Play（50%）利用竊取憑證、進程挖空和遠端服務執行等手段來規避防禦。這些技術使得它們能夠在系統內部隱匿並橫向移動，即使經過多年的記錄和分析，這些惡意軟體仍然難以阻止。它們的持續適應能力對企業的防禦策略提出了嚴峻的挑戰。
4. 高級勒索軟體業者依然保持韌性： 高級勒索軟體如AvosLocker的防禦率僅為52%，即使面對專門的防禦措施，它仍然能夠利用權限提升和高級混淆技術入侵關鍵區域。這類威脅通常具備高度客製化和規避能力，使得傳統的簽章式防禦措施難以應對。

結語與建議

Picus的《2025年藍色報告》結論很明確：假設並不等於保護。企業不能僅僅依賴於現有的安全產品，而必須主動驗證其防禦有效性。報告中也指出，除了資料外洩防禦的崩潰，惡意軟體傳輸的防禦有效性也降至60%，且警報檢測率低至14%。這些數據共同描繪了一個令人擔憂的圖景，即勒索軟體攻擊正在多個防禦環節中取得成功。

為了應對這些挑戰，報告建議企業實施入侵與攻擊模擬（BAS）。BAS提供持續、自動化的測試，針對真實世界的勒索軟體行為進行模擬，提供可操作的修復指南和可測量的彈性數據。透過BAS，企業可以證明其應對勒索軟體攻擊的準備情況，並填補攻擊者正在利用的漏洞。總之，唯有透過持續驗證和主動調整防禦策略，才能真正提升企業的網路安全韌性，有效抵禦持續演變的勒索軟體威脅。

資料來源：https://www.bleepingcomputer.com/news/security/known-emerging-unstoppable-ransomware-attacks-still-evade-defenses/