中國香港地區數字風險事件報告/天际友盟 3 2024-07 GeminiLab 目錄 TABLEOFCONTENT 摘要 P4 Abstract 網路攻擊事件分析 P5 Analysisofnetworkattackevents 中國香港地區數字風險事件報告/天际友盟 5 參考資料 P19 Reference 總結 P18 Conclusion P15 暗網資料洩露事件分析 Analysisofdarkwebdataleakageevents 摘要 0P1OINT 隨著資訊技術的快速發展和數字經濟的蓬勃增長,中國香港地區正面臨日益嚴峻的網絡安全挑戰。網絡攻擊頻發,數據洩露事件頻傳,對經濟穩定、社會安全、個人隱私和商業秘密構成嚴重威脅。本報告旨在綜合分析近一年香港的主要數字風險事件,識別當前挑戰和風險,並提出未來發展趨勢與建議,為政府、企業和公眾加強網絡安全防護提供參考,共同營造安全穩定的網絡環境。綜合來看,香港數字安全風險形勢當前主要表現出以下三個特點: DeepFake類欺詐活動激增 伴隨人工智慧技術的快速發展,攻擊者利用DeepFake技術實施欺詐的風險事件也隨之激增,已然成為 勒索攻擊威脅長盛不衰 香港當前網絡安全的主要關註點。這類欺詐事件常以公眾人物和企業高管為目標,通過偽造形象和語音,進行大規模的詐騙活動,對社會和經濟造成重大沖擊。 暗網資料洩露風險愈演愈烈 香港在多個關鍵領域均面臨勒索軟件攻擊威脅,顯示出各行各業均存在安全薄弱點。包括Lockbit在內的頂級勒索團夥和新興勒索組織Trigona均可通過加密企業關鍵數據,索取高額贖金,嚴重威脅企業運作和數據安全。勒索攻擊呈現出組織化和專業化趨勢,攻擊手法更加復雜,企業需要加強防禦措施。 網路攻擊常導致資料洩露,這些洩露的資訊又被頻繁出售至暗網多個管道。其中,商務服務、通信和醫療行業在資料洩露方面尤為嚴重,洩露內容涵蓋個人資訊和企業商業機密,不僅帶來了法律和經濟上的風險,更加劇了公眾對網路隱私和資料保護的擔憂,暴露出香港地區在個人資料保護和網路安全管理方面存在的脆弱性。 0P2OINT 網路攻擊事件分析 2.1網路攻擊概述 過去一年,香港遭遇了多起數字風險事件,對多個領域造成重大影響和損失。這些事件在攻擊目的、攻 擊手段、目標行業和受影響範圍等多個方面呈現出鮮明的特點。以下是從這四個方向對這些事件的概述: 1)攻擊目的 經濟利益:大多數攻擊旨在獲取經濟收益,通過索取贖金或在黑市出售盜取資料來非法牟利。 情報收集:部分攻擊意在非法獲取系統存取權限,以竊取商業機密、智慧財產權和政府情報等敏感資訊。破壞與中斷:還有一些攻擊目的在於破壞資訊系統和企業運營,導致業務中斷和重大的財務損失。 2)攻擊手段 暴力破解:香港的金融機構和企業存儲了大量敏感性資料,成為攻擊者通過暴力破解獲取經濟利益的目 標。 社會工程學:多元文化和開放商業環境為社會工程學攻擊提供了便利,攻擊者常利用人際關係和信任關係來操縱資訊獲取。 網路釣魚:高互聯網普及率和頻繁線上交易使香港成為網路釣魚攻擊的高發區,攻擊者常偽造通信誘騙敏感資訊。 漏洞利用:香港企業和組織的複雜IT系統可能存在安全性漏洞,為攻擊者提供了利用機會。 分散式拒絕服務(DDoS)攻擊:關鍵基礎設施和線上服務平臺對網路穩定性的高依賴使得DDoS攻擊可能造成嚴重服務中斷。 勒索軟體:醫療、通信服務等行業對資料的高度依賴使它們成為勒索軟體攻擊的主要目標,一旦遭受攻擊,可能導致運營中斷和重大經濟損失。 3)目標行業 金融服務業電子商務醫療保健資訊技術政府機構教育領域 4)受影響範圍 企業層面:資源有限的中小企業尤其容易成為攻擊目標,導致業務中斷、經濟損失和聲譽損害。 個人用戶:眾多個人用戶遭受攻擊,遭遇財務損失和個人資訊洩露。 跨國影響:部分攻擊事件牽涉跨國企業和機構,其影響不局限於香港,而是擴展至亞太乃至全球範圍。 綜上所述,網路攻擊的複雜性和多樣性對香港的網路安全構成持續挑戰,亟需各方協同合作,加強防禦措施,提升整體安全防護水準。 2.2DeepFake欺詐風險事件 人工智慧(AI)如今具有雙重影響,正在重塑網路安全格局。一方面,它為防禦提供了更強大的工具, 另一方面,也為攻擊者提供了更複雜的方法,例如Deepfake。Deepfake(深度偽造)是“Deeplearning”(深度學習)和“Fake”(偽造)的混成詞,指利用深度學習技術生成合成圖像、音訊或視頻的技術。由於公眾人物的視頻、音訊、圖片資料的公開性,這些素材為AI訓練提供了豐富的資料,因此名人經常成為AI造假的受害者。 目前,Deepfake技術應用廣泛,涉及電影製作、視頻編輯、虛擬實境等領域。然而,該技術的快速發展也給網路安全維護帶來了巨大挑戰。根據全球一體化驗證平臺Sumsub的研究,在亞太地區,香港是2024年首季Deepfake事件數目按年增長最高的地區之一,增幅達10倍,遠超全球平均約2.5倍的增長率。其中,香港金融科技行業的身份欺詐率在亞太地區更是高達第一。以下將介紹幾起香港近期發生的值得關注的欺詐性Deepfake事件。 案例1:AI變臉冒充CFO,香港一公司被騙2億港元 事件背景: 2024年2月,據香港警方稱(如圖1),有詐騙分子利用人工智慧Deepfake(深度偽造)技術,通過 公司的YouTube視頻和從其他公開管道獲取的媒體資料,成功地仿造了英國公司高層管理人員的形象和聲 音,在網上會議中冒充多名人士,騙取財務職員轉帳2億港元。 據介紹,報案人為一間跨國公司香港分行職員,指上月中收到該公司英國總部首席財務官的資訊,聲稱要進行機密交易,分別邀請該公司數名財務職員進行多人的視訊會議。由於對方各人在會議內均顯示了與現實相同的容貌,職員不虞有詐,前後轉帳15次,合共2億港元到5個本地銀行戶口,其後向總部查詢方知受騙。 圖1 案例2:奧雅納香港員工遭Deepfake欺詐,損失1.9億港元 事件背景: 2024年5月,曾經設計澳大利亞悉尼歌劇院、北京鳥巢、港珠澳大橋的英國知名設計工程公司奧雅納 (Arup)證實,公司成為一宗深偽技術(Deepfake)詐騙案的受害者,詐騙案利用奧雅納一名高級經理的數位複製版本,於視訊會議期間下令奧雅納的香港員工進行轉帳,導致奧雅納損失了2500萬美元(約1.95 億港元)(如圖2報導)。據悉,該詐騙案使用了偽造的聲音和圖像,即騙徒預先在網上獲取公開的圖像和聲音,再利用深偽技術製作偽冒視頻,而會議內只有參加的職員一人為真人。由於是預製片段,會內主要以上司下屬的關係向職員下達命令,期間職員沒有機會與會議的參加者進行交流,整個視像會議只是要求職員作一次簡短的自我介紹,其後騙徒以藉口完結會議,並在即時通訊軟體繼續下達命令。 圖2 案例3:英國跨國公司香港負責人被騙,匯款400萬港元 事件背景: 某英國公司駐香港的負責人於2024年5月20日收到自稱是其公司“首席財務官”的Whatsapp訊息 後,在第二日與對方進行Zoom視像會議,並按指示匯款約400萬港元至不同戶口,作為開分公司的資金。其後事主向公司查證,發現上司的影像,是騙徒利用公司上司及其他投資公司代表的公開片段作素材,配合Deepfake技術將說話內容篡改,然後在視像會議播放,進而實現以假亂真(如圖3)。 圖3 攻擊手段:社會工程學 影響評估:經濟損失、聲譽損害、內部信任危機、法律合規風險 2.3勒索軟體攻擊事件 近一年來,香港企業在與勒索軟體對抗上形式仍然嚴峻,包括醫療、通信、政府、教育、製造等關 鍵領域均先後遭受了勒索攻擊。其中,不僅有全球知名的勒索組織LockBit和BlackCat的身影,諸如Trigona、Mallox類的新興勒索團夥亦在香港發動威脅活動,香港的網路安全挑戰可謂形成了接踵而來的局面。接下來,我們將深入介紹這些在香港活躍的主要勒索團夥,以及他們發動的相關攻擊案例,以提供對當前勒索軟體威脅的更全面理解。 1.勒索組織概覽 1)主要的勒索組織 LockBit:LockBit勒索團夥起源於俄羅斯,遵循RaaS運營模式,且後期主要採用“雙重勒索”策略(檔 加密+資料披露)來敲詐受害者。 目前,LockBit勒索軟體攻擊範圍遍及北美、歐洲和亞太地區,似乎並無國界之分。其中,美國、法國、英國、中國等國家為重災區。此外,LockBit的攻擊目標並不局限於某一特定組織,其目標行業來自各行各業,且尤其青睞軟體和資訊技術、製造、政府、網路安全、國防等關鍵行業。 BlackCat:BlackCat勒索軟體組織,自2021年末開始活躍,使用勒索軟體名為BlackCat,由Rust語言編寫,採用三重勒索及勒索軟體即服務運營模式,並提供高達90%的贖金,以吸引附屬機構。攻擊目標包括電信、商業服務、保險、零售、機械、製藥、運輸、建築等多個行業,受影響的地區包括美國、澳大利亞、亞太地區、歐洲地區等,其中美國的受害者最多。FBI曾發佈公告稱BlackCat的幾名開發人員與兩個已解散的RaaS組織DarkSide和BlackMattet存在關聯。 Trigona:一個新興的勒索軟體組織,自2022年10月開始活躍,並於2023年2月末爆發大規模攻擊,主要通過SQLServer弱口令暴破等手段,入侵受害者終端進而投放Trigona勒索軟體。慣用的攻擊方法為:獲得對目標環境的初始訪問權、進行偵察、通過遠端監控和管理(RMM)軟體傳輸惡意軟體、創建新使用者帳戶和部署勒索軟體。。它主要針對澳大利亞、義大利、法國、德國、紐西蘭和美國的農業、建築、金融、高科技、製造和行銷組織。 Mallox:Mallox是一種主要針對Windows系統的勒索軟體,自2021年6月以來一直活躍,採用雙重勒索策略,並因其利用不安全的MS-SQL伺服器作為初始感染媒介而聞名。該勒索軟體使用ChaCha20加密演算法對檔進行加密,加密檔常以.malox作為副檔名,2023年1月,該組織成員曾表示Mallox正在推出RaaS服務。 2)贖金情況 贖金金額:贖金金額通常取決於受害組織的規模和資料的重要性。在香港,贖金要求往往在數萬至數百 萬港元之間。 支付方式:攻擊者通常要求通過加密貨幣(如比特幣、門羅幣等)支付贖金,以避免追蹤。 多重勒索策略:除了加密資料,攻擊者還威脅要公開敏感資訊(雙重勒索),甚至進行DDoS攻擊(三重勒索)以提高受害者支付贖金的概率。 談判與支付:有些企業選擇與攻擊者談判,希望降低贖金或拖延時間以恢復備份。然而,這種方式並不總是有效,有時攻擊者會提高贖金要求或增加威脅力度。 2.典型案例 案例1:製造業–Ewig(2024年3月) 事件背景: 2024年3月,Blackcat勒索組織(目前已被打擊關停)公佈Ewig集團(ewig-mco.com)成為其受害者(如 圖4)。據悉,Ewig是全球客戶電子製造業的一站式解決方案供應商,其總部設在香港,在中國擁有設備齊全的製造設施。 圖4(來源天際友盟暗網平臺) 案例2:批發零售業–香港達利國際集團(2024年3月) 事件背景: 2024年3月3日,Mallox勒索組織公佈香港達利國際集團(highfashion.com.hk)成為其受害者(如 圖5),聲稱竊取了134GB數據。據悉,香港達利國際集團主營服裝製造,成立於1978年,並在1992年在香港聯交所正式上市,集團擁有全國以至亞洲的先進生產設備,並以坐落於中國浙江及廣東的生產及研發基地為中心,提供從紡紗、織造、印染、後整理到成品製造的整合一條龍生產與服務。 圖5 案例3:教育行業-香港專業進修學校(2024年2月) 事件背景: 香港專業進修學校電腦系統在2024年2月13日遭遇了極具針對性且不尋常的網路攻擊,學校的資訊 科技網路和檔案伺服器中的部分檔被盜取並加密,涉及共逾450GB檔案。影響約3200名學生,事件至今受影響人數則超過8,000人,洩露資料