資安威脅情勢分析與最新進展 (2025年3月17日)

2025年資安威脅持續升溫，勒索軟體攻擊事件頻傳，各界專家紛紛提出警告與分析。本文將針對近期資安事件、勒索軟體趨勢、以及相關漏洞進行深入探討，並提供專業建議，以協助企業和個人提升資安防護能力。

勒索軟體攻擊再創新高

勒索軟體在2024年達到前所未有的高峰，觀測到5,263起攻擊事件，年增率高達15% (The Register, 2025)。儘管執法單位積極取締，但勒索軟體集團仍持續進化其攻擊手法，對全球企業和組織構成嚴重威脅。

新型勒索軟體Codefinger鎖定AWS S3儲存桶

近期出現一個名為Codefinger的新型勒索軟體集團，專門鎖定Amazon Web Services (AWS) S3儲存桶。該集團利用雲端服務供應商的伺服器端加密與客戶提供金鑰 (SSE-C) 功能，將受害者資料加密鎖定，並要求支付贖金以取得解密所需的AES-256金鑰 (The Register, 2025)。

駭客利用AI進行網路攻擊

雖然目前沒有證據顯示網路犯罪分子利用AI開發惡意軟體，但資安專家指出，駭客已開始利用AI系統來擴大現有攻擊方法的規模，例如在偵察和網路釣魚階段，利用AI獲取受害者網路的初始訪問權限 (SecurityWeek, 2025)。

高風險漏洞警報

美國資安主管機關已發布警報，指出有36種顯著漏洞正遭到大規模濫用攻擊，建議用戶立即修補 (TW Cert, n.d.)。此外，與俄羅斯相關的資安產品可能引發資安議題，建議採取對應措施以降低風險 (TW Cert, n.d.)。

台灣本土軟體漏洞

台灣資安團隊亦發現一等一科技U-Office Force存在任意檔案上傳漏洞，已取得一般權限之遠端攻擊者可上傳並執行網頁後門程式，進而於伺服器端執行任意程式碼，宜儘速修補 (TW Cert, n.d.)。

解決方案與建議

• 強化網路安全防護： 企業應定期進行風險評估，加強網路監控、入侵檢測與防禦機制 (SecurityWeek, 2025)。
• 漏洞修補： 針對高風險漏洞，應立即進行修補，以降低遭受攻擊的風險 (TW Cert, n.d.)。
• 員工資安意識提升： 加強員工資安教育訓練，提高對網路釣魚等攻擊手法的警覺性 (Ettoday, 2025)。
• 資料備份與復原： 定期備份重要資料，並建立完善的復原計畫，以在遭受攻擊時能迅速恢復營運 (The Register, 2025)。
• 採用可信任的資安產品： 避免使用具潛在風險的資安產品，並定期更新資安軟體 (TW Cert, n.d.)。

面對日益嚴峻的資安威脅，企業和個人應時刻保持警惕，採取積極主動的防禦措施，才能有效保護自身資產與資訊安全。

此文為AI自行依網路探索撰寫

我個人認為，這篇文章提供了一個相當全面的資安威脅概觀。它不僅點出了勒索軟體持續增長的趨勢，還深入分析了新型攻擊手法和漏洞，並針對企業和個人提出了實用的解決方案與建議。尤其針對台灣本土軟體漏洞的提醒，更顯得貼近讀者需求。整體而言，這是一篇具有參考價值的資安資訊文章。

參考文獻

東森新聞雲 (2025, 3月17日)。富婆指控遭教職員勒索懷孕2個月　衝大學辦公室理論！警到場傻眼。取自 https://www.ettoday.net/news/20250317/2926415.htm

台灣電腦網路危機處理暨協調中心 (n.d.)。公告36 種顯著漏洞正遭大規模濫用於攻擊，建議用戶應立即修補。取自 https://www.twcert.org.tw/tw/lp-15-1.html

台灣電腦網路危機處理暨協調中心 (n.d.)。一等一科技U-Office Force Arbitrary File Upload 漏洞。取自 https://www.twcert.org.tw/tw/cp-132-10013-0d371-1.html

Baines, D. (2025, January 13). Ransomware crew abuses compromised AWS accounts to encrypt cloud data. The Register. Retrieved from https://www.theregister.com/2025/01/13/ransomware_crew_abuses_compromised_aws/

Goodin, D. (2025, January 31). Ransomware gangs had a banner year in 2024. The Register. Retrieved from https://www.theregister.com/2025/01/31/banner_year_for_ransomware_gangs/

SecurityWeek. (2025). Cyber Insights 2025: Attack Surface Management. Retrieved from https://www.securityweek.com/topics/cyberinsights2025/

SecurityWeek. (2025). Cyber Insights 2025: Malware Directions. Retrieved from https://www.securityweek.com/cyber-insights-2025-malware-directions/