2025年迪士尼樂園爆發史上最大規模資料外洩事件,引發資安界高度關注,原因是駭客勒索軟體Anubis不但加密被害者資料,還具有「毀滅模式」功能(Wipe Mode)。
自2025年開始,一種名為 Anubis 的勒索軟體快速升溫,成為資安界關注的焦點。它的雙重威脅不只具備傳統的檔案加密能力,還能執行破壞性更高的抹除模式(Wipe Mode),導致即便支付贖金也難以復原資料,為企業與個人帶來極高的威脅。
新興勒索軟體Anubis最早出現於2024年11月,為勒索軟體組織。受害者遍布澳洲、加拿大、秘魯和美國的醫療保健、飯店和建築業。
一、Anubis 的攻擊流程
初始存取
攻擊者通常透過釣魚郵件、惡意附件、假冒更新檔或惡意網站傳播 Anubis。
權限提升
取得初步存取權後,Anubis
會利用系統漏洞(如 Windows 權限提升漏洞)或竊取憑證,以獲取系統管理員權限,方便進行更大範圍的攻擊。
系統偵察
進入系統後,Anubis 會掃描本地與網路上的共享資料夾,識別重要檔案(如辦公文件、資料庫檔、設計圖等),並蒐集受害者的系統資訊與網路架構。
加密階段
Anubis 採用 ECIES(Elliptic Curve Integrated Encryption Scheme)結合 AES-256 對檔案進行加密,確保即使檔案被攔截也無法解密,除非取得攻擊者持有的私鑰。
抹除階段
為防止受害者透過備份還原,Anubis
會清空系統中的快照(Shadow Copies)並刪除系統還原點,甚至可能啟動「Wipe Mode」覆寫磁碟上的特定檔案區塊,增加資料復原難度。
勒索與外洩
最終,Anubis 會在系統桌面與檔案目錄中放置勒索通知(Ransom Note),要求以加密貨幣支付贖金。若受害者拒絕支付,攻擊者會公開或出售先前竊取的敏感資料,形成二次傷害。
二、防範措施
加強郵件安全:部署郵件閘道(Email Gateway)過濾惡意附件與釣魚連結,並教育員工辨識釣魚郵件。
修補系統漏洞:定期更新作業系統與應用程式,防止利用已知漏洞提升權限。
強化帳號安全:停用不必要的 RDP 服務,啟用多因素驗證(MFA),並限制管理員帳號的遠端存取。
網路分段與存取控制:將關鍵資料伺服器與使用者電腦隔離,並採用最小權限原則。
定期備份與離線保存:確保關鍵資料備份至離線或不可修改的儲存設備,並定期測試復原程序。
威脅情資與監控:
★部署端點偵測與回應(EDR)系統,結合威脅情報(Threat Intelligence)偵測 Anubis 特徵行為。如NEITHNET自主研發的NEITHSeeker(MDR),透過資深資安團隊服務,分析警示資訊當中潛藏的危險徵兆,提供及時有效的處理,避免被加密勒贖、資料破壞,造成企業營運損失。
★流量監控:分析網絡流量,檢測可疑的橫向移動或外部通信。如NEITHNET自主研發的NEITHViewer內網威脅鑑識服務,提供內網異常流量行為監控,透過網路行為與大量惡意情資,搭配富有經驗的資深網路攻擊分析師,讓內網威脅無所遁形。
Anubis 勒索軟體不僅加密檔案,還結合資料竊取與公開威脅,使其在勒索策略上更具破壞性。面對此類攻擊,企業必須採取「預防為主、防禦為輔、快速回應」的策略,將資安防護融入日常營運流程。只有透過持續監測、員工教育與多層次防禦,才能降低 Anubis 及其他高階勒索軟體的威脅影響。
