各大資安關鍵問題 Part2

 

Q:駭客如何威脅企業付款?。為何會一下子大規模中毒,可否說明真實可能的現況?

國際上有很多活躍的駭客組織,比方已經退休的MAZE,這些駭客集團有做分工,組織化,他們知道要廠商肯付錢,必須讓廠商「短期內大規模中毒」,否則難以迫使企業支付,企業會肯付錢是因為「需要快速恢復原狀。」
舉個例子,比方兩個小時內讓一萬台電腦中9000台電腦中毒,要一台一台修太耗時,企業老闆無法處理時,就可能會支付。這是駭客希望施壓壓力。

因此關鍵是短期內,大規模中毒,那麼關鍵就是就是透過「派送技術」,比方防毒軟體會更新病毒碼,他們最常攻擊AD伺服器/資產管理伺服器/防毒軟體中控台,一旦這些主機中毒,就跟更新病毒碼一樣,會派送病毒給所有企業內電腦,造成大規模中毒。

 

Q:中毒後會有什麼勒索模式?有些駭客威脅曝光企業機密?

病毒有很多種,有些是有後門,可以加密企業資料時備份一份在駭客端,駭客會威脅不給錢就公佈企業資料,或地下網站再賣一次,但駭客必須有資料儲存容量,另一種最直接是加密企業硬碟內資料,不把資料拿走。

 

駭客也講究信用跟評價?企業真的會付錢嗎?
Q:真的有企業會付款嗎?

你不會知道企業到底有沒有付錢,有時候你看新聞,外匯公司當機兩週後,突然就恢復正常了,但企業付款也不會講,真的支付也不會是公司名義支付,很多會透過第三方白手套支付,或者透過第三方跟駭客討價還價。
目前聽過的駭客拿到錢,都會給鑰匙,企業拿到鑰匙,9000台電腦同時複製金鑰,半小時內就會恢復所有資料。

 

Q:駭客這麼有「誠信」,拿錢會真的給金鑰?付款給駭客,會不會讓他食髓知味,再來攻擊?

幾乎都不會發生(拿錢不給鑰匙),因為這樣一來,駭客圈都會知道這個人沒信用,且受駭客戶也會去到處講:中毒千萬別給XXX錢,因為XXX不會給鑰匙。

根據過去經驗,付款都能拿到鑰匙,駭客的信用是在的,但這是為了存活/繼續生活的手段,所以被駭者才會支付,甚至廠商都是透過白手套公司去打折討價還價,做一些協議,要求未來不再攻擊。

通常勒索完,已經給錢了,主機解密後還留有病毒,這真的沒辦法知道,當然企業必須立刻內部加強資安部署,但駭客拿錢後,目前還沒聽過哪家公司被打兩次。

 

Q:可否給企業防駭幾個建議?

建議AD最高管理者不能出門,權限要分層,或做很多設計SOP流程,否則只要一點被突破,最高管理者帳密就會曝光。
其次網段要切割,跟內部串連要做一些功能分工,不能暢行無阻,否則最高權限被瓦解後,駭客建立立足點後,就中毒了。
另外遠端連線或外部連線,國外協力廠商來更新軟體,網路芳鄰上傳下載檔案,都很容易中毒,若在家辦公,員工家裡電腦有污染或資訊服務託管業者中毒,連回公司主機也可能讓企業中毒。

 

查看Part1

(相關資訊來自數位時代