獨家／駭客勒索升級「毀滅模式」　迪士尼最慘下場曝

民視新聞／蘇恩民報導

迪士尼樂園爆發史上最大規模資料外洩事件，引發資安界高度關注，原因是駭客勒索軟體Anubis不但加密被害者資料，還具有「毀滅模式」功能（Wipe Mode），一旦啟動，資料不只是被挾持，還會被完全刪除，就好像日前以色列駭客入侵伊朗銀行刪光資料，導致客戶存款歸零。

去年12月現身的Anubis是一款極具破壞力的勒索軟體服務平台（Ransomware-as-a-Service, RaaS），最初以原型名「Sphinx」出現在 X（前 Twitter）及地下論壇如RAMP和XSS上，之後快速演化為完整的攻擊平台，包含專屬品牌、洩漏網站及彈性的聯盟分潤制度。

令各國企業資安部門不安的是，Anubis不只加密資料，還會在取得系統控制後，徹底抹除檔案內容，即使受害者支付贖金也無從復原。而這項「毀滅模式」功能（Wipe Mode），是目前勒索家族中極為罕見的設計，顯示攻擊者不再僅以勒索為目標，而是意圖癱瘓業務核心。

資安界分析Anubis的加密+抹除雙重打擊模式，發現Anubis具備高度模組化架構，攻擊者可透過指令列參數靈活控制攻擊策略。選項包括：啟動資料加密流程、提升系統權限至管理員層級、啟動檔案抹除功能使資料完全清空（檔案變為0KB）、精準指定攻擊目標或排除項目。

換去話說，Anubis一旦進入企業網路，會先掃描使用者權限並試圖提權，取得控制權後，就會啟動ECIES加密機制加鎖資料，並將檔案副檔名更改為 .anubis。此外，攻擊者還會更換桌布、變更圖示，加強心理層面的威脅感。

Anubis除了進行檔案加密，還能透過 /WIPEMODE參數啟動資料銷毀機制，將檔案內容清空為0 KB，但保留原始檔名與副檔名，使受害者誤以為資料還在，而真正的風險在於「/WIPEMODE」：一旦開啟，檔案內容將被徹底消除，僅剩空白殼檔案，此舉幾乎等同於資訊銷毀，目前已知受害國家包括澳洲、加拿大、秘魯、美國等醫療、營建、工程相關產業。

資安業者竣盟科技總經理鄭加海指出，巴黎迪士尼遭Anubis攻擊，駭客並非正面突破，而是透過合作供應商的資安破口竊取超過39,000份機密檔案（共64GB）。更棘手的是，Anubis採用「邊勒索、邊毀檔」的雙重攻擊模式，即使企業付錢也無法保證資料能復原，令人防不勝防！

針對此類攻擊，鄭加海提出5項資安強化建議：

1. 顧好自己，也要顧好夥伴:供應商就是你的資安延伸，定期檢查合作夥伴的資安狀況，納入風險管理。

2. 備份不嫌多，還原才是真功夫:資料定期異地備份外，更要定期演練還原流程，確保關鍵時刻能即刻救援。

3. 登入不靠運氣，MFA 才安心: 全面推動多因素驗證（MFA），防堵帳號盜用，別讓駭客有機可乘。

4. 不怕你來，就怕你沒被發現: 導入行為偵測工具或欺敵誘捕技術，抓出潛藏威脅。

5. 人是最大的弱點，也是最強的盾:定期對內部員工與外部供應商進行資安訓練，打造整體防護意識。

鄭加海強調：「資安不是單打獨鬥，而是一場整體供應鏈的團體戰。只要一個環節遭殃，整條鏈就可能被拖下水。」他提醒企業，與其事後補救，不如現在就主動檢查資安防線，包含對內與對外的全面防護，才能真正抵禦日益複雜的攻擊威脅。