文/劉虹君(Gigi Liu)
當企業談到資安,最常聽到的一句話是:「我們有備份。」
但近年愈來愈多勒索事件證明:有備份,不代表能還原;有防毒,不代表能阻擋;有EDR,也不代表能避免災難。
現代駭客早已不是「闖進來就加密」的角色。他們更像職業竊賊——先踩點、再偷鑰匙、關閉警報器,最後才搬空整棟房子。
近期一份流出的駭客對話紀錄,意外揭露了這類攻擊的真實樣貌。對話內容看似簡單,卻透露出兩個關鍵訊息:
> entry point spam
> update veeam it’s vulnerable
短短兩句話,幾乎還原了一場完整的勒索攻擊鏈。
加密,只是最後一步
許多人以為勒索病毒的起點是加密。事實上,加密只是最後一步,真正的攻擊往往從一封郵件開始。攻擊者透過垃圾郵件、釣魚信件或社交工程,誘騙使用者點擊附件或連結。當使用者以為自己只是開啟報價單、履歷表、請款單或物流通知時,惡意程式可能已悄悄進入企業內部。
接下來,駭客不會急著加密,而是先觀察環境—尋找帳號密碼、蒐集憑證、分析內部網路架構,確認哪些伺服器最重要、哪些資料最有價值。甚至連企業的備份系統,都成為優先攻擊目標。
備份系統,淪為攻擊鏈的關鍵節點
近年來,許多勒索集團特別鎖定備份系統。駭客很清楚,真正能讓企業恢復營運的,不是生產系統,而是備份系統。一旦備份被摧毀,企業就失去了最後的保命繩索。
在這次駭客對話中,攻擊者反覆提到 Veeam—一套全球廣泛使用的企業級備份平台。正常情況下,它的工作是保護資料;但管理不當時,反而可能成為攻擊者最好的情報來源。原因很簡單:備份系統通常保存大量高權限憑證,包含 Windows Server、Linux Server、NAS、VMware ESXi、vCenter、資料庫以及各類服務帳號。對駭客而言,這裡就像一座保險箱——只要打開一個系統,就可能取得整個企業環境的鑰匙。
當駭客在對話中表示:> all credits were obtained from it
許多資安專家認為,這裡很可能是將 credentials(憑證)誤寫成 credits。換句話說,攻擊者宣稱,大量帳號與密碼,都是從備份系統取得。
這正是近年勒索事件最危險的趨勢之一:**備份系統不再只是受害者,它開始成為攻擊鏈中的關鍵節點。**
當企業的眼睛被蒙蔽
更值得企業警惕的是,攻擊者進入內部後,往往會先處理防護系統。近年資安圈甚至出現專門的「EDR Killer」工具,目的只有一個:讓企業的眼睛失明。
當防毒軟體被停用、EDR被關閉、監控日誌被刪除後,企業雖然仍然擁有資安設備,卻已經失去了真正的偵測能力。
許多企業誤以為自己遭遇的是突然發生的勒索攻擊。實際上,攻擊者可能早已潛伏數週甚至數月,等到所有防護都被繞過、備份都被刪除、資料都被竊取後,才按下最後的加密按鈕。
因此今天的勒索攻擊流程通常是:**釣魚郵件 → 帳號竊取 → 橫向移動 → 提升權限 → 關閉EDR → 竊取資料 → 破壞備份 → 發動加密**
加密只是結果,真正的攻擊早在數週前就已經開始。
合法工具,最危險的偽裝
另一個值得關注的現象,是駭客愈來愈喜歡利用合法工具作為掩護,例如常見的遠端管理工具、PowerShell、WMI、PsExec 等系統管理工具。這些工具原本是IT人員日常工作的一部分,但在駭客手中,卻可能成為橫向移動與遠端控制的武器。
當攻擊行為偽裝成正常管理活動時,企業即使收到告警,也可能因為「告警疲乏」而錯失黃金處理時間。於是我們看到一個弔詭的現象:企業其實有偵測到異常,卻來不及阻止損害。
從阻止入侵,到入侵後仍能存活
這也是現代資安與過去最大的差異。過去我們關注的是如何阻止入侵;現在更重要的是,如何在入侵成功後仍然存活。
企業需要的不再只是備份,而是**備份韌性**;不只是偵測,而是**攻擊成功前的預防能力**;不只是還原資料,而是**重建營運的能力**。這包括:郵件安全防護、零信任架構、多因素驗證(MFA)、最小權限管理、備份不可變技術(Immutable Backup)、離線備份、外部日誌保存,以及定期復原演練。
因為真正的問題從來不是:「駭客會不會進來?」而是:「當駭客進來以後,我們是否還能活下來?」這或許才是這份駭客自白,帶給所有企業最重要的提醒。 在數位時代,備份不是韌性。當資料被摧毀、系統被癱瘓、信任被瓦解之後,仍然能夠重建與重生,才是真正的安全。
