根據資安研究機構趨勢科技（Trend Micro）最新報告，一種名為Crypto24的新型勒索軟體正以其高超的技術能力和先進的規避手法，對全球企業構成嚴重威脅。研究人員指出，Crypto24的攻擊行動展現了對企業防禦系統的深入理解，並成功繞過包括趨勢科技Vision One在內的多款端點偵測與回應（EDR）平台，顯示勒索軟體威脅已進入「危險的進化階段」。

 

Crypto24勒索軟體最早於2024年被發現，但直到近期才開始展現其破壞力。趨勢科技報告顯示，Crypto24攻擊者不僅擅長利用合法工具進行攻擊，還開發了客製化的工具來癱瘓資安防護系統。特別是其改進版本的RealBlindingEDR開源工具，能夠針對近30家資安廠商的產品（包括Cisco、Kaspersky Lab、MalwareBytes、Sophos及Trellix等）移除安全回調功能，展現出對現代資安防禦機制的深刻理解。

 

研究人員觀察到，Crypto24攻擊者利用合法工具如PSExec和AnyDesk進行遠端存取與橫向移動，並透過Google Drive進行資料外洩。此外，他們還利用趨勢科技提供的合法卸載工具XBCUninstaller.exe，在獲得管理員權限後，遠端卸載Trend Vision One防護軟體。這種「棲身於地」（Living off the Land, LotL）策略，讓攻擊者能夠利用企業內部的合法管理工具，進一步隱藏其惡意行為。

 

報告指出，Crypto24攻擊者展現了「不尋常的策略規劃與耐心」，主要針對亞洲、歐洲和美國的金融服務、製造業、娛樂和科技行業的大型企業。這些攻擊行動顯示出高度的針對性和精細的操作，顯示其目標為擁有大量營運和財務資產的「大獵物」（Big Game Hunting）。

 

EDR平台作為企業資安防禦的核心技術，近年來成為勒索軟體團伙的首要攻擊目標。Crypto24的攻擊行動進一步凸顯了EDR技術的脆弱性。報告中提到，攻擊者利用未知的漏洞驅動程式（Vulnerable Drivers），成功繞過趨勢科技及其他資安廠商的防護措施。這種對企業防禦堆疊的深入研究和針對性攻擊，讓資安專家感到憂心。

 

趨勢科技表示，雖然正確配置的系統、強大的存取控制和「最小權限原則」（Principle of Least Privilege）能有效阻止Crypto24的攻擊，但攻擊者對EDR產品的深入分析和弱點利用，顯示出資安防禦的挑戰日益嚴峻。由於目前尚不清楚Crypto24使用的具體漏洞驅動程式，企業無法針對性地將其加入黑名單，進一步增加了防禦的難度。

 

為應對Crypto24的威脅，趨勢科技提出了多項防禦建議。首先，企業應實施強大的存取控制，嚴格遵循最小權限原則，確保只有必要人員擁有高級權限。此外，啟用防篡改措施（如趨勢科技的代理自我保護功能）能有效防止攻擊者卸載或修改資安產品。該功能可確保本地用戶無法干擾或移除趨勢科技的防護代理，從而保護端點的完整性。

 

趨勢科技還建議企業採取以下措施：

此外，企業應加強員工資安意識培訓，並定期更新系統與軟體補丁，以減少漏洞被利用的可能性。

 

Crypto24的崛起標誌著勒索軟體攻擊進入了一個新階段，其對EDR平台的針對性攻擊和技術精湛程度，顯示出網路犯罪團伙的專業化程度正在快速提升。趨勢科技警告，隨著攻擊者對企業防禦系統的了解加深，未來類似的威脅可能會更加普遍。

 

資安專家呼籲，企業應重新審視其資安策略，投資於更全面的防禦措施，包括多層次防護、即時監控和快速回應機制。同時，資安廠商也需加速更新其產品，以應對日益複雜的攻擊手法。

 

Crypto24勒索軟體的出現，不僅對企業資安防禦構成挑戰，也為資安產業敲響了警鐘。隨著網路犯罪團伙不斷精進其技術，企業必須採取積極的防禦措施，確保其關鍵資產和資料安全。趨勢科技的報告提醒我們，面對這類新型威脅，僅依靠單一防護技術已不足以應對，企業需要全面提升資安能力，才能在這場與網路犯罪的賽跑中保持領先。