2026 年 6 月 Threat Debrief 重點整理

Bitdefender 在最新一期《Ctrl-Alt-DECODE》威脅簡報中指出，近幾個月來，研究人員發現一個值得關注的新現象：包括 Qilin、The Gentlemen、DragonForce 以及 Coinbase Cartel 等知名勒索軟體集團，竟然陸續宣稱攻擊了相同的受害者。

更特別的是，這些受害組織往往早在數週甚至數個月前，就已經被其他勒索軟體集團列入受害名單。

理論上，企業在遭遇勒索軟體攻擊後，應該會進行系統修復與資安強化，但為何同一家公司會接連遭到不同集團攻擊？這也讓資安研究人員開始思考：這些勒索軟體集團究竟是在彼此競爭，還是其實共享著相同的犯罪資源與供應鏈？

勒索軟體集團之間的界線正在模糊

Bitdefender 認為，造成受害者重疊最主要的原因之一，就是合作夥伴（Affiliate）之間的流動性越來越高。

舉例來說，The Gentlemen 過去曾是 Qilin 的合作夥伴，而 DragonForce 也曾公開表示與 Qilin 建立合作關係。至於 Coinbase Cartel，則更偏向提供資料外洩與存取資源服務的角色，透過支援其他犯罪集團來獲取利益。

換句話說，今天入侵企業環境的可能是同一批攻擊者，只是換上不同勒索軟體品牌的名義進行勒索。

初始存取權限已成為地下市場商品

除了合作夥伴共享之外，更重要的原因來自地下犯罪市場的成熟化。

近年來，駭客已不需要親自入侵目標系統。他們可以直接向地下市場購買：

• 帳號密碼
• VPN 憑證
• Session Token
• 瀏覽器資料
• 遠端存取權限
• 已入侵主機資訊

這些資料通常由初始存取經紀人（Initial Access Broker）或資訊竊取程式（Infostealer）蒐集後進行販售。

因此，同一批外流資料可能同時被多個勒索軟體集團購買並使用，進而造成同一家公司反覆成為攻擊目標。

資訊竊取程式成為新關鍵

Bitdefender 特別指出，資訊竊取程式（Infostealer）正在快速改變勒索軟體生態。

這類惡意程式主要目標不是加密資料，而是竊取高價值資訊，例如：

• 工作階段權杖（Session Token）
• 帳號憑證（Credentials）
• 瀏覽器儲存密碼
• Cookie 資料
• OAuth 驗證資訊

一旦資料遭竊，便會流入地下交易市場，並被不同犯罪集團反覆利用。

近年來廣泛出現的 Lumma、RedLine 等竊資工具，就是最典型的例子。

企業不能再把勒索軟體事件視為單一事件

過去企業可能認為，只要完成勒索軟體事件調查、還原系統並修補漏洞，事件就算結束。

但如今的情況已經不同。

當攻擊者成功竊取憑證、Cookie 或工作階段資訊後，這些資料很可能在未來數月甚至更久的時間內持續流通於地下市場。

也就是說，企業今天遭遇一次入侵，未來仍可能因相同資料再次遭到不同攻擊者利用。

因此，勒索軟體事件不應被視為單一事件，而應被視為長期風險管理的一部分。

現代資安防護需要更全面的可視性

Bitdefender 建議企業除了關注勒索軟體本身之外，也應持續監控整體攻擊鏈，包括：

• 使用者異常行為分析
• 網路流量監控
• 雲端資源安全強化
• API 存取追蹤
• 威脅情資監控
• Infostealer 活動監測

尤其近年攻擊者越來越傾向竊取已驗證的工作階段（Authenticated Sessions），藉此繞過 MFA 與身分驗證機制。相較於破解密碼，直接盜用合法登入狀態往往更快速且更難被發現。

隨著勒索軟體集團、資訊竊取程式與地下交易市場之間的關係越來越緊密，企業未來面對的將不只是單一攻擊，而是一整個彼此串聯的網路犯罪生態系。

參考來源 : (4) Takeaways from the June 2026 Threat Debrief | LinkedIn

延伸閱讀 / 參考資料

Bitdefender Official Blog

Accept All Cookies? ICO Prompts Top UK Websites to Make It Clear What Data They Collect from Users

Bitdefender Releases 2025 Consumer Cybersecurity Survey

了解更多我們提供的服務