朋友的小公司,檔案全部被鎖,歹徒要求的贖金,高達 500 枚比特幣...
中午,一個久未連絡的老朋友,傳了訊息過來:
「緊急問題!請教一下,我們公司好像中毒了,所有 server 上的檔案都被鎖起來,該怎麼辦?」問了一下,原來朋友任職的公司,遭到近來十分流行的「勒贖攻擊」(Ransomware cyber attack);歹徒駭入他們公司的 Windows 伺服器,把所有檔案全部加密,並且要求極高的贖金——500 枚比特幣;以最近的售價,相當於新台幣兩億四千六百多萬。
我看到這個數字,不禁笑了:歹徒顯然不知道,我朋友的公司,只是間十來人的小公司;跟這種小公司要兩億多贖金,歹徒要不是沒做功課,就是根本找錯對象駭錯人。
朋友的小公司當然無力支付這筆鉅額贖金;然而因為沒有備份,所以也無法將加密的檔案復原,只能一切歸零,重新開始。
小公司也會被勒贖
過去我讀過的各種資安新聞,透過惡意軟體進行勒贖攻擊,把受害機關行號的資料先偷出來備份,然後全部加密,再跟你要一筆鉅額贖款,如不交錢就公布偷來的機密資料;這種攻擊早已不新奇。
光是今年以來,台灣的知名科技業者Garmin和仁寶電腦,以及中油和台塑公司,都曾傳出遭勒贖軟體攻擊的新聞,仁寶疑似還支付了贖款。至於國外大企業、金融機構、甚至政府單位,遭到勒贖攻擊的案例,更是多到數不清。
大家可能以為駭客只會鎖定有錢大企業來攻擊,然而連我朋友的十多人小公司也會被駭;就算這只是歹徒搞不清楚狀況,駭到一個沒錢的受害者,但也表示不只有錢的大企業會被勒贖,連小公司都難逃遭駭的命運。
真的不要以為駭客離你很遠,事實上,駭客真的就在你身邊。
避免被勒贖的幾個方法
像朋友公司這樣,一但被勒贖就幾乎停擺,多年檔案付之一炬,一切都得砍掉重練的案例,當然值得警惕;因為這絕對會大大打擊公司的正常營運與形象,甚至造成公司倒店大吉。
以下提供幾個方法,多少可以幫助你的公司,更不容易遭到勒贖攻擊:
1. 各種資料與檔案,盡可能儲存在雲端上
過去大家總是習慣把檔案存在自己電腦,或是所謂的「公槽」中,然而把檔案存放在自己家中,風險其實是很高的。
一來,很多小公司沒有定期備份檔案的機制或 SOP,檔案不見了就歸組壞了了。二來,用以存放檔案的設備與軟體,往往會有很多易遭攻擊的資安漏洞,一般小公司也難以設置專人,經常更新這些設備,修補資安漏洞;結果就是被駭風險非常之高。
相形之下,Amazon、Google 或 Microsoft 等大型業者,或是 Dropbox、BOX 等中型業者的資料中心或雲端伺服器,都有相當強固的資安防護與備份機制;光就資料本身的安全性來說,存在這些雲端服務,絕對會比存在自己公司裡要安全得多。
另外,雲端儲存的成本已經比過去便宜不少,網路存取的速度也很快;各種資料都在雲端的話,檔案共享、協作與遠距作業,也會更為方便。
與其自己買台 NAS、硬碟和伺服器來裝檔案,還得費力維護更新,真的可以思考,是不是要把資料都放上雲端儲存。
甚至像 Email、Office、各種公司運作所需的系統,也都找得到雲端服務可用;把公司的日常運作大量雲端化,公司的運作也會更有彈性。
2. 盡量不要採用 Windows 系統;非用不可,就得時時更新
這裡不是要黑微軟,而是基於事實:Windows 系統的資安漏洞就是比其他系統多很多。根據專門匯集各種資安漏洞資訊的 CVE Details 網站統計,2019 年發現的 Windows 10 嚴重資安漏洞(7分以上,最嚴重的滿分為 10 分)計有 198 個,而 Mac OS X 則為 55 個。
以最近常見的勒贖攻擊來看,常見的攻擊手法,多半都是先設法駭入公司內部網路的某一台電腦,然後順藤摸瓜,找到內部網路中的 Windows 伺服器,再利用其系統資安漏洞,駭入 Windows 伺服器;這樣就能掌握公司內網的所有電腦和檔案,一次把檔案全都加密,讓所有人都無法工作。
也就是說,在多數的勒贖攻擊中,Windows 伺服器都是駭侵者的攻擊目標;要是公司根本就沒有 Windows 伺服器可以被攻破,那麼被攻擊得逞的風險就會大幅下降。
當然,並不是說用 Linux 或其他作業系統的伺服器就一定安全,但就案例來看,被攻擊風險最大的,還是 Windows 系統。改採 Windows 以外的解決方案,雖不能說一定不會被攻擊,但起碼風險低上一截。
當然,很多公司和使用者離不開 Windows 和 Office,怎麼辦呢?那只剩下一條路:時時更新,安裝漏洞修補程式。
微軟在每個月的第二個星期二,都會發行一大包最新的資安修補工具,稱為「Patch Tuesday」;而在遇到緊急狀況時,更會針對特定漏洞直接發布修補程式。公司一定要有人緊盯著 Patch Tuesday 和最新發行的資安修補包,時時更新公司上下所有電腦,不然真的很容易被破台。
養成資安好習慣,才能自保又保護大家
很多人以為駭客攻擊時,都是直接攻擊公司的伺服器;然而事實是,駭客多半都是先攻擊個人工作者使用的電腦,然後再順著攻入公司的內部網路,進而駭入整間公司。
舉例來說,很多攻擊者會寄釣魚信件給公司員工,用假冒的登入畫面騙取帳號密碼,或是在信件中夾個含有惡意程式的夾檔,騙你開啟檔案,順便植入惡意軟體。
所以,其實個人才是公司資安的最大破口;如果工作者自己的資安習慣不好,公司有再好的資安防護,都很容易遭到攻陷。
我之前寫過兩篇文章(文章一、文章二),談個人如何自我保護,避免遭到攻擊;大家可以參考這兩篇文章,先把自己的資安習慣養好,既能自保,也能保護你的公司。
