新型勒索軟體 Sicarii 的警示：當憑證漏洞成為攻擊跳板，企業如何構建零留存的身分治理防線？

2026 年初，資安研究社群偵測到 Sicarii 勒索軟體組織的變種活動，其攻擊手法標誌著勒索邏輯的轉向。不同於傳統勒索軟體採取「數據抵押、支付換鑰」的模式，Sicarii 在技術實作上更傾向於破壞性攻擊（Destructive Attack）。

根據 Check Point Research 的最新技術分析，該勒索軟體在入侵初期即展現出極強的自動化憑證收割（Credential Harvesting）特點，它並不急於索要贖金，而是優先鎖定系統內的 SSH 金鑰與雲端存取憑證進行掃描，將企業的通訊路徑轉化為擴大感染的跳板。而其最令人棘手的特徵在於：它在加密後會立即從記憶體與磁碟中銷毀 RSA 私鑰（Private Key），這意味著數據一旦受損，贖金也無法換回復原的可能性。

雖然報告指出目前全球僅有極少數受害案例，顯示該組織尚處於實驗階段且帶有濃厚的意識形態色彩，但這正是一個嚴峻的警訊：即便是不具備大規模生態的新興 RaaS 團體，只要掌握了企業內部疏於管理的通訊憑證，仍能造成不可逆的損害。

📚Resource：Sicarii Ransomware: Truth vs Myth - Check Point Research

深入探究 Sicarii 的攻擊鏈，其核心技術點在於將「身分竊取」與「無效加密」高度整合，造成企業無法復原的損害 -

⚫「自殺式加密」讓救援可能性歸零：

Sicarii 在執行過程中隨機生成金鑰並在加密後立即丟棄，這種不留活路的作法，暗示了攻擊者的目的可能不再是獲利，而是測試數據抹除的破壞極限。這警示了企業：面對新型態威脅，唯一的防線是確保攻擊者無法取得擴大破壞的權限，因為數據一旦被加密，可能連駭客自己都無法還原。

⚫金鑰管理的盲區即是擴散門戶：

Sicarii 的活動揭露了一個長期被忽視的實務痛點—靜態 SSH 私鑰（Static Keys）的濫用。在啟動加密前，它會像搜刮戰利品一樣，深層掃描伺服器中存放管理權限的金鑰檔案（如系統連線設定檔、管理員資料夾等處）。由於 2026 年企業環境中 M2M（機器對機器）自動化程度極高，這些被遺忘在硬碟裡的「靜態私鑰」，就成了駭客向內網快速跳轉的通行證。

⚫針對混合雲環境的憑證逃逸：

即便攻擊工具本身尚未成熟，只要能識別並獲取雲端服務憑證（如 AWS Access Keys），攻擊者便能從受感染的主機跳轉至雲端管理介面。這反映出一個事實：身分憑證的防禦漏洞，是導致攻擊從單點感染演變成基礎架構崩潰的主因。

⚫環境偵測與誤導：

攻擊程式碼中嵌入了大量虛假的標籤與註解，旨在規避沙箱偵測並延緩資安人員的應變速度，為其憑證收割爭取寶貴的時間窗。

Sicarii 並非單一威脅，而是一個指標性的轉折點，它提醒了資安管理者：即便攻擊者的工具不夠成熟，只要企業內部對於「連線憑證」缺乏動態管理，任何微小的漏洞都足以演變成系統性災難。

面對這種「以身分為核心」的攻擊趨勢，防禦重心須從單純的偵測惡意程式，提升至消除所有可被利用的憑證資產。SSH Communications Security 身為 SSH 協定的原創品牌，其解決方案正是在修補「靜態金鑰」帶來的歷史缺陷，將存取安全帶入「零留存」時代：