Page 54 - 清流雙月刊 NO.38

P. 54

MJIB

Safety Administration, FMCSA）在該等州英國資安公司 Sophos 專家深入研究

發布緊急狀態，以緩解油品供應中斷問題。後，對勒索軟體的防範，提供以下建議：

美國聯邦調查局（FBI）確認此次攻擊一、分析所有端點使用者的電腦，確保它

的元凶是來自東歐的 DarkSide 駭客集團，們已經安裝修補程式，並要求任何遠

2
其是銷售勒索軟體即服務（RaaS）的俄距存取必須採用多因素驗證及限制能
羅斯網路犯罪組織，此次攻擊除將該公司存取的網段。
電腦系統鎖死外，DarkSide 還竊取了超過
二、確認系統的DMZ已經與區域網路隔離，
100 GB 的企業資料。
並且鎖定伺服器不得執行 PowerShell
攻擊事件導致三成加油站都無油和未經授權的二進位檔案。 5

可賣，油品供應中斷影響車輛運輸。在
三、在所有電腦（尤其是伺服器）上執行
Colonial Pipeline 遭駭客攻擊 5 天後，該公
進階端點保護。 6
司依舊沒辦法完全恢復營運。為回歸正常

生活，除政府發布囤積禁令外，

該公司以支付 440 萬美元的比特
3
幣贖金方式解決。

本事件不僅成為全球頭條
新聞，而且還揭示勒索軟體攻擊

能演變影響到實體世界。由於
DarkSide 疑是通過利用未使用

多因素身分驗證（Multi-factor
Authentication, MFA）的帳戶，
4
復以該公司系統建置於 1960 年
代，資安防護效果薄弱，故駭客

可輕易獲得對 Colonial Pipeline Colonial Pipeline 成立於 1961 年，系統建置老舊，資安防護效果薄弱，
系統的存取權限。駭客有機可乘，使石油運輸管道暫停運作，嚴重影響民生運輸。
（Photo Credit: Pete D, https://ﬂic.kr/p/22b51Mc; Famartin, https://w.wiki/4qej）

2 Ransomware-as-a-Service，係出售或出租勒索病毒。亦即，勒索軟體程式已再不需要自行開發，透過網路交易便可取得。
3 據報其中 230 萬美元後來被美國政府追回。
4
使用者要通過 2 種以上的認證後，才能得到存取控制電腦的授權。
5
如開源工具 RClone 等，並需儘快（不超過 5 天）安裝好所有修補程式。
6
最厲害的攻擊者大多都不會鎖定桌上型電腦或筆記型電腦；相反的，他們會鎖定於伺服器，因為伺服器最不可能被及時修補並執行適當
的安全工具。

52 清流雙月刊

49 50 51 52 53 54 55 56 57 58 59