標籤: Ransomware

美國聯邦調查局（FBI）與美國網路安全暨基礎設施安全局（CISA）警告，自2021年6月首次偵測到Medusa勒索軟體以來，該惡意軟體已影響超過300家關鍵基礎設施機構。

兩大機構近日聯合發布安全公告，揭露Medusa的攻擊行為模式並提供防範建議。

Medusa勒索軟體概述

Medusa是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS），主要透過網路釣魚（Phishing）攻擊及利用未修補的軟體漏洞進行滲透。

截至2025年2月，CISA指出，Medusa的開發者及其合作夥伴已攻擊超過300家關鍵基礎設施機構，受影響產業涵蓋醫療、教育、法律、保險、科技及製造業等。

然而，實際受害機構的數量可能更高。根據Symantec威脅獵人團隊的最新報告，自2023年初以來，該勒索軟體組織在其資料外洩網站上已公開近400家受害機構的資訊，實際影響範圍可能遠超此數。

Medusa的多重勒索手法

Medusa採用雙重甚至三重勒索策略，包括：

1. 竊取並加密受害者資料。
2. 威脅公開被盜數據，以施壓受害者支付贖金。
3. 部分受害者支付贖金後，仍被要求支付額外費用才能獲得所謂的「真解密工具」（True Decryptor）。

Medusa的攻擊模式

1. 初始滲透與存取權限購買

最初，Medusa由一個勒索軟體團隊掌控，負責所有開發與運營。但隨著時間推移，該組織轉向聯盟模式，允許多個駭客組織合作，而贖金談判仍由核心開發團隊集中控制。

Medusa活躍於地下駭客論壇，專門招募「初始存取經紀人」（Initial Access Brokers, IABs）來獲取受害組織的存取權限。該組織提供100美元至100萬美元不等的報酬，甚至允許駭客專門為Medusa工作。

2. 攻擊手法與內部滲透

• 釣魚攻擊：Medusa的合作夥伴透過網路釣魚竊取憑證。
• 漏洞利用：該組織曾濫用ScreenConnect與Fortinet EMS SQL注入漏洞等已知漏洞。
• 合法工具濫用：「Living off the Land」技術（利用系統內建工具進行攻擊），避免傳統防毒軟體偵測。
• 網路與系統探測：滲透後，Medusa會掃描常見連接埠，利用命令列工具進行網路與檔案系統探索，並使用Windows Management Instrumentation（WMI）查詢系統資訊。
• 混淆與反偵測：使用Base64編碼混淆PowerShell惡意程式碼，甚至透過有漏洞或合法簽章的驅動程式關閉或刪除防毒工具。

3. 遠端存取與資料外洩

Medusa會根據受害者環境選擇適合的遠端存取軟體。

• 資料外洩與加密：駭客使用Rclone等工具將資料同步至雲端，隨後部署「gaze.exe」加密檔案，並附加「.medusa」副檔名。
• 系統破壞：gaze.exe會終止備份、安全性、資料庫、通訊、檔案共享與網站服務，刪除Windows陰影備份（Shadow Copy），再以AES-256加密。
• 虛擬機器加密：攻擊者手動關閉虛擬機器，並加密其相關檔案。

勒索與贖金支付機制

• Medusa會在受害系統留下「READ_ME_MEDUSA!!!.txt」勒索訊息，要求受害者在48小時內透過Tor瀏覽器或Tox加密通訊軟體聯繫。
• 若受害者未回應，攻擊者可能直接撥打電話或寄送電子郵件。
• 在Medusa的暗網網站上，攻擊者發布贖金要求並提供加密貨幣支付連結，甚至在倒數計時結束前向潛在買家販售受害數據。
• 受害者可支付1萬美元延長倒數計時。
• FBI調查發現，一些受害者支付贖金後，另一名Medusa攻擊者聲稱談判者已私吞款項，要求再支付一半金額以取得「真正的解密工具」，顯示該組織可能實施三重勒索策略。

CISA與FBI建議的防禦措施

• 修補已知漏洞，避免攻擊者利用未修補漏洞滲透。
• 進行網路分段，減少橫向移動風險。
• 落實資料備份與復原計畫，確保關鍵數據可快速恢復。
• 監測可疑流量與異常行為，例如未經授權的遠端存取或異常加密活動。
• 教育員工提高資安意識，防範網路釣魚攻擊。

企業應及早採取行動，強化資安防禦，以降低Medusa等勒索軟體的風險。

近日，竣盟科技發現勒索軟體集團 CrazyHunter 已在暗網設立官方網站，詳細列出其受害者名單、入侵證據以及相關「服務」資訊。該組織近期針對 馬偕醫院 及 彰基醫院 的攻擊，已引發外界對醫療機構網路安全的高度關注。

與傳統勒索軟體集團不同，CrazyHunter 展現出 高度組織化、技術先進 且 極具侵略性 的行動模式，結合快速滲透、數據毀滅與品牌化犯罪運營，體現其高水準的攻擊計劃性與執行力。

---

攻擊模式與 DLS 架構

根據其暗網上的 Data Leak Site (DLS)，CrazyHunter 採取 高效、精準 的攻擊策略，目標是 在最短時間內突破企業安全防線。

DLS 主要架構

• 首頁：
  • 顯示 CrazyHunter 名稱 及座右銘：「There is no absolute safety（絕對的安全並不存在）」，凸顯其核心理念：任何系統均無法實現絕對安全。
• Victim List（受害者列表）：
  • 受害機構僅來自台灣，涵蓋醫療、學術單位與製造業。
  • 每個受害案例包含：
    • 勒索金額（最高可達 150 萬美元）。
    • 交易狀態（如 Expired 代表數據即將公開，Successful cooperation 代表已支付贖金）。
    • 倒數計時器，藉此施加心理壓力。
• About Us（關於我們）：
  • 描述該組織的攻擊手法與技術優勢。
• Contact Us（聯繫我們）：
  • 提供談判及「合作」管道。

---

CrazyHunter聲稱擁有的高級攻擊技術與戰術-72小時滲透戰略

CrazyHunter 自稱可在 72 小時內攻破企業防線，其技術優勢包括：

• 獨家漏洞利用：
• 獨家漏洞利用鏈的存活時間超過 MITRE 平均估計 300% 以上，即漏洞在被修補、緩解或失效之前的持續時間——比MITRE的估計值高出300%以上。
• 繞過主流Endpoint系統，包括：
  • CrowdStrike
  • SentinelOne
  • Microsoft Defender XDR
  • Symantec EDR
  • Trend Micro XDR
• 混合攻擊策略：
  • 零日漏洞（Zero-day）與已知漏洞（N-day）並用，提升滲透效率。
  • 檔案無痕攻擊（Fileless Attack），繞過傳統偵測機制。
  • 變形惡意軟體（Polymorphic Malware），透過自我調整規避安全防護。

---

三維數據毀滅系統Three-dimensional Data Annihilation System

1. 加密層（Encryption Layer）：
   • 採用 XChaCha20-Poly1305 演算法，實現高速加密，無密鑰狀態下數據無法復原。
2. 毀滅層（Destruction Layer）：
   • 採用 CIA認可的覆寫刪除技術，透過多重覆寫使數據不可恢復。
3. 威懾層（Deterrence Layer）：
   • 利用AI生成針對高層管理人員的高真實度入侵證據，施加額外壓力迫使受害者付款。

此 結合高端加密、數據銷毀與心理戰術 的混合策略，使 CrazyHunter 成為當前最具威脅性的網路犯罪組織之一。

---

犯罪品牌與區塊鏈技術的應用

CrazyHunter 強調品牌經營，透過「服務」機制增加受害者付款誘因，包括：

• 延遲數據公開服務： 付款 50% 贖金可推遲數據曝光。
• 安全漏洞修復指南： 提供技術文件，幫助企業「補救」安全問題。
• 數據刪除證明影片： 付款後提供影片，證明數據已被銷毀。
• 區塊鏈記錄：
  • 該組織聲稱會將「履約證據」上鏈，以建立「信譽」，提高受害者付款率。

這種模式 不同於傳統勒索軟體集團（如 REvil、LockBit），展現出更成熟的犯罪運營模式。

---

攻擊目標與受害者分析

CrazyHunter 目前的主要攻擊目標為 台灣的醫療、學術與能源產業，已知受害機構包括：

• 高等教育機構（某某大學及其附屬醫院）。
• 醫療機構（如馬偕醫院、彰基醫療財團法人）。
• 製造產業

該組織傾向選擇 支付意願較高 的受害者，如醫療與學術機構，以利用其對數據洩露的高度敏感性。然而，未來其攻擊範圍極可能擴展至 金融、製造、政府機構 等其他產業。

---

結論與防禦建議

CrazyHunter 並非傳統勒索軟體集團，而是結合 高端技術、心理戰術與品牌化經營 的 新型態網路犯罪組織，其特點包括：

• 不可恢復的數據銷毀（加密 + 物理摧毀）。
• AI 深度偽造技術（用於施壓與勒索）。
• 區塊鏈技術（用於建立「信譽」，提高贖金支付率）。

企業應採取以下關鍵防禦措施：

1. 強化 EDR/XDR 部署，提升對進階攻擊的偵測與防禦能力。
2. 持續漏洞管理，縮短漏洞修補週期，降低被利用風險。
3. AI 驅動的風險評估，主動預測潛在攻擊，提升整體安全性。
4. 強化欺敵技術的應用，透過部署虛假資源來誘騙攻擊者，從而降低真實數據遭受攻擊的風險。

隨著 勒索軟體的組織化、品牌化與技術升級，企業需 重新評估並升級安全策略，以免成為下一個目標。

近期，資安研究員發現 Akira 勒索軟體採取了一種罕見的攻擊策略——利用一台未受保護的網路攝影機來加密受害者的網路檔案，成功繞過 EDR（端點檢測與回應）防禦機制。這起攻擊事件凸顯了物聯網（IoT）設備的安全風險，以及企業在防護策略上的潛在漏洞。

攻擊過程解析

根據資安公司S-RM 的調查，Akira最初透過企業暴露在外的遠端存取系統滲透內部網路，可能是通過竊取憑證或暴力破解方式獲取權限。入侵後，攻擊者部署 AnyDesk（一款合法的遠端管理工具），並開始竊取企業機敏數據，準備進行雙重勒索攻擊。

為了擴大影響範圍，他們利用 遠端桌面協議（RDP） 進行橫向移動，試圖在多台 Windows 系統中部署勒索軟體。最終，攻擊者投放了一個受密碼保護的壓縮檔 win.zip，內含勒索軟體載荷 win.exe，但因為受害企業部署了 EDR 解決方案，這個加密程序在執行前就被攔截並隔離，使攻擊受挫。

Photo Credit: Source: S-RM

繞過 EDR：攻擊者如何利用網路攝影機？

在傳統攻擊路徑被 EDR 阻擋後，Akira開始尋找替代方案，透過掃描內部網路，發現一台 網路攝影機和指紋掃描器。最終，他們選擇了攝影機作為攻擊跳板。

根據 S-RM 的技術分析，這台攝影機具備以下特點，使其成為攻擊者的最佳選擇：

1. 存在遠端 Shell 存取漏洞，允許攻擊者在未經授權的情況下執行命令。
2. 運行基於 Linux 的作業系統，與 Akira 勒索軟體的 Linux 加密工具兼容。
3. 未部署 EDR 代理程式，因此不受企業安全監控機制的約束。

攻擊者利用攝影機的 Linux 系統掛載了企業 Windows 設備的 SMB 網路共享，然後直接在攝影機上執行 Linux 版勒索軟體，加密所有連接到該網路共享的檔案。由於 該設備未受企業資安團隊監控，導致異常 SMB 流量未被及時發現，最終讓攻擊得逞。

資安專家建議：如何降低 IoT 設備風險？

這起事件突顯出，雖然 EDR 能有效攔截端點設備上的惡意行為，但對於 IoT 設備的防護仍有極大缺口。為防範類似攻擊，企業應採取更全面的資安策略：

1. 強化 IoT 設備安全管理

• 將 IoT 設備與核心業務網路隔離，避免攻擊者利用這些設備作為攻擊跳板。
• 停用不必要的遠端存取功能，降低潛在攻擊面。
• 定期更新韌體與安全修補，修補已知漏洞，防範攻擊者利用弱點滲透。

2. 加強異常流量監控

• 部署網路流量分析（NTA）工具，偵測內部設備是否發送異常 SMB 流量。
• 建立設備使用行為基準（baseline），一旦設備流量異常，立即啟動警報機制。

3. 提升存取管理與帳號安全

• 確保 IoT 設備管理帳號使用強密碼，並關閉預設憑證。
• 實施多因素身份驗證（MFA），避免攻擊者透過竊取憑證輕易入侵網路。

結論：IoT 設備是資安防禦的新戰場

這起 Akira 勒索攻擊事件表明，企業不能僅依賴 EDR 或傳統的端點安全防護來應對勒索軟體攻擊。攻擊者已經開始利用企業忽略的 IoT 設備，作為繞過資安防線的切入點。

為此，企業必須全面檢視網絡中的 所有設備安全狀態，包括 IoT 設備、伺服器與工作站，並透過 網路隔離、異常監控及修補管理，來降低類似攻擊的風險。未受監管的 IoT 設備，可能就是下一個網路安全的破口，企業務必正視這一威脅，及早採取行動。

Akira勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

3920f3C63686514e8e0288f8227e92c969d690e5

b5a5bd9f727623b2eeea051eldd7d57705daa03a

ac9952bcfcecab7400e837d55f91e9a5eeb67d07

勒索軟體攻擊概況

2025年1月30日，台灣印刷電路板（PCB）製造龍頭——欣興電子（Unimicron Technology Corp.）旗下位於中國的子公司欣興科技（深圳）有限公司（聯能科技）遭受勒索軟體攻擊。根據欣興電子於台灣證券交易所（TWSE）市場觀測站（MOPS）發佈的公告，公司已緊急聘請外部資安專家進行數位鑑識分析，並強化資安防護措施，強調本次事件對業務營運影響有限。

然而，資安新聞網站Bleeping Computer報導指出，勒索軟體組織Sarcoma聲稱對此次攻擊負責，並已在暗網洩密網站上公佈部分竊取數據樣本。據悉，駭客組織宣稱竊得約377GB的SQL數據庫及商業文件，要求欣興電子在2025年2月20日前支付贖金，否則將公開所有竊取數據。

影響與資安風險分析

欣興電子為全球領先的高密度互連（HDI）PCB及半導體載板製造商，為蘋果、英特爾等國際科技企業供應關鍵零組件，在全球電子供應鏈中占據重要地位。此次攻擊不僅可能對欣興電子自身營運造成影響，還可能對全球科技產業供應鏈帶來潛在風險。

勒索軟體攻擊已成為製造業主要的資安威脅，尤其在供應鏈高度整合的環境下，任何企業的資安事件都有可能引發連鎖反應。攻擊者可能透過竊取的資料進行後續攻擊，例如進一步針對合作夥伴發動社交工程攻擊，甚至利用獲取的機密資訊進行詐欺或商業間諜活動。

Sarcoma勒索軟體組織剖析

Sarcoma是一個近年迅速崛起的勒索軟體組織，自2024年10月發動攻擊以來，短短一個月內便聲稱攻擊了36家企業，並在2024年11月被資安公司CYFIRMA警告為“快速增長的重大資安威脅”。

該組織採取雙重勒索策略，除了加密受害者系統外，還會竊取機密數據，並以公開洩露為威脅，以此迫使企業支付贖金。根據RedPiranha的報告，Sarcoma主要透過以下技術入侵企業網絡：

• 釣魚郵件攻擊（Phishing）：透過社交工程詐騙企業員工點擊惡意連結或下載受感染的附件。
• 已知漏洞攻擊（n-day exploits）：利用未及時修補的安全漏洞來獲取初始訪問權限。
• 供應鏈攻擊（Supply Chain Attacks）：針對合作夥伴或第三方服務商，以間接入侵目標企業。
• 遠端桌面協議（RDP）攻擊：一旦獲得網路訪問權限，攻擊者會透過RDP進行橫向移動，以擴大影響範圍。

目前資安研究人員仍未完全解析Sarcoma的核心攻擊工具與技術，該組織的幕後操縱者依然成謎。

強化資安防禦，降低勒索風險

此次欣興電子遭受攻擊，再次警示全球製造業及半導體供應鏈須加強資安防護。針對此類勒索軟體攻擊，企業應採取以下措施，以降低潛在風險與業務損失：

1. 強化端點安全與入侵偵測：確保所有關鍵系統均具備最新安全補丁，並部署端點偵測與回應（EDR）解決方案，以快速發現異常行為。
2. 提升員工資安意識：透過定期資安培訓，提高員工對釣魚攻擊與社交工程詐騙的警覺性。
3. 建立完善的資料備份與災難復原計劃（BCP/DRP）：確保關鍵數據具備異地備份，並定期演練災難復原流程，以確保在遭遇攻擊時能迅速恢復業務運營。
4. 與資安專家合作：部署威脅情報分析及安全監控機制，以主動預防潛在攻擊，並建立應變計畫，以應對可能發生的資安事件。

結語

勒索軟體攻擊不僅對個別企業造成財務與營運損失，更可能對產業供應鏈及全球經濟帶來深遠影響。Sarcoma等新興勒索軟體組織的崛起，顯示網路犯罪活動正變得更加複雜與具針對性。企業唯有積極強化資安防禦，建立完善的資安治理機制，才能有效應對日益嚴峻的網路威脅環境。

背景概述：
近期，對Morpheus和HellCat勒索軟體的分析揭露了一個日益複雜的網路犯罪生態，這兩個新興的勒索軟體家族透過共享程式碼基礎展現了彼此的聯繫。這一發現強調了勒索軟體作為服務（RaaS）模式的持續演化，以及攻擊者在開發工具和運營策略上的高效協作。

根據SentinelOne的最新報告，這些樣本的關鍵相似性表明，它們可能源於相同的構建工具或程式碼庫，這對企業的防禦策略提出了更高的要求。

技術詳解：Morpheus與HellCat的負載特性
從技術層面看，Morpheus和HellCat雖然是新進者，但其負載設計顯示了精心策劃的工程能力。

1. 64位便攜執行檔：
   每個負載均為64位便攜執行檔，並需要指定路徑作為參數，這表明攻擊者可能利用自動化腳本或工具精確鎖定目標資料。
2. 排除特定目標：
   它們避免加密Windows核心目錄（如\Windows\System32）及特定擴展名（如.dll、.sys等），表明攻擊者有意避免導致系統完全崩潰的風險，以確保受害者仍能訪問基礎系統，並支付贖金。
3. 加密特徵：
   • 加密過程中使用Windows加密API進行密鑰生成，採用BCrypt演算法進一步提升加密的複雜度。
   • 不更改受影響檔案的副檔名，讓受害者難以快速識別受感染的檔案範圍。
4. 未設置持久化機制：
   攻擊者選擇了一種“輕量級”的負載運行方式，僅加密檔案並投放勒索信，而未執行其他系統修改，如更改桌面背景或植入持久化後門。這種策略可能是為了快速執行攻擊，並減少被安全工具檢測到的風險。

聯繫與RaaS模式的威脅分析
Morpheus與HellCat之間的關聯反映了RaaS生態系統的日益碎片化和分散化：

• 共享代碼基礎：
  兩者的勒索信模板與2023年出現的“Underground Team”類似，但功能實現上存在差異。這表明，攻擊者可能正在利用共享的程式碼庫或構建工具快速生成負載，而不是重新編寫程式碼。
• 相同的合作夥伴網絡：
  RaaS模式促進了分散式運營，攻擊者可通過“租賃”方式接觸多個勒索軟體家族的工具，這不僅增加了執法追蹤的困難，也使新興團隊能快速進入市場。

威脅格局與應對建議
當前的勒索軟體生態系統愈加複雜，呈現出分散化、小型化和高度靈活的特點。根據NCC Group的數據，2024年12月的勒索軟體攻擊數量達到創紀錄的574起，其中新興群體（如FunkSec）尤為活躍。

1. 持續監控與威脅情報分享：

企業需部署以行為分析為核心的入侵檢測系統（IDS），實現全天候網絡活動監控，精準發現異常與潛在威脅。同時，應與威脅情報共享平台緊密合作，定期更新威脅數據庫，獲取最新攻擊模式和技術的深入洞察，從而迅速調整安全策略，增強應對新型威脅的能力

2. 加強防禦策略：
   • 嚴格限制外部訪問，確保遠端桌面協議（RDP）和網路文件共享（SMB）服務的安全性。
   • 定期執行修補管理，防止已知漏洞被利用。
3. 數據備份與恢復計劃：
   採用多層次的備份策略，確保關鍵數據可快速恢復。同時測試恢復流程，確保實用性與可靠性。
4. 安全意識培訓：
   提高員工對勒索軟體攻擊的認識，特別是在釣魚郵件和社交工程攻擊方面的防範意識。

結語：
Morpheus和HellCat的崛起標誌著勒索軟體威脅的新階段。對於安全專家來說，理解這些新興威脅的技術基礎和運營模式是制定有效防禦策略的關鍵。同時，企業應積極部署多層次的防禦措施，降低這些分散化威脅的影響力。

Morpheus和HellCat的部分入侵指標(Indicator of compromise -IOCs):

b834d9dbe2aed69e0b1545890f0be6f89b2a53c7 (HellCat)
f62d2038d00cb44c7cbd979355a9d060c10c9051 (Morpheus)
f86324f889d078c00c2d071d6035072a0abb1f73 (Morpheus)

針對 Blue Yonder 的勒索軟體攻擊破壞了星巴克用於追蹤員工工時的平台，該公司正在恢復手動追蹤

供應鏈管理軟體供應商 Blue Yonder 遭受勒索軟體攻擊，導致部分客戶業務受到嚴重干擾，其中包括多家大型企業。

位於亞利桑那州的 Blue Yonder 於 11 月 21 日表示，其托管服務環境因遭受到勒索軟體攻擊而導致中斷。公司立即展開調查並開始修復受影響的服務。在 11 月 24 日公司網站發布的最新消息中，Blue Yonder 表示修復工作進展順利，但尚未提供完整恢復服務的時間。

Blue Yonder 表示已聘請一家資安公司協助進行調查和修復，但未透露有關此次攻擊的其他細節。

目前尚無任何已知的勒索軟體組織承認對此次攻擊負責。不過，這類網路犯罪團體通常僅在受害者拒絕支付贖金或談判破裂時，才會公佈受害者的名稱並洩露資料。

Blue Yonder 提供一個端到端 (end-to-end) 的供應鏈平台，公司聲稱擁有來自 76 個國家、超過 3,000 家客戶，其中包括零售商、製造商和物流服務供應商。

多家知名客戶已確認因 Blue Yonder 的服務中斷而受到影響，其中一家是星巴克（Starbucks）。星巴克表示，針對 Blue Yonder 的勒索軟體攻擊致使該公司用於管理員工排班和工時記錄的平臺運作中斷。不過，星巴克計劃採取一切必要措施，以確保員工薪資不受影響。

星巴克發言人表示，公司正在與該供應商 (Blue Yonder) 密切合作，以解決平臺中斷問題。然而，公司已向門市經理及員工提供指導，教授如何手動記錄相關資訊。根據公司聲明指出，此次攻擊並未影響星巴克的一般顧客服務，因此行動點單與門市運作均照常進行。

根據《The Grocer》報導，在英國，兩大超市連鎖品牌 Morrisons 和 Sainsbury’s 也受到影響。

Morrisons 使用 Blue Yonder 的倉庫管理解決方案，因中斷而採用手動備援系統。該公司表示，此事件影響了供應商的交貨以及某些產品的供應情況。Sainsbury’s 也確認受到影響，但他們表示已啟動緊急應對措施以減輕此次事件的影響。

根據 CNN 的報導，Blue Yonder 的解決方案同樣被美國的超市連鎖品牌（例如 Albertsons 和 Kroger）以及其他類型的公司（例如 福特 Ford、寶僑 Procter & Gamble  和 百威 Anheuser-Busch）使用，但目前尚不確定這些公司是否有受其影響。

穆迪（Moody’s）供應鏈策略資深總監 John Donigian 表示，此次攻擊凸顯出這些技術在全球供應鏈管理中的重要性。

他指出：「當這些系統中斷時，重要的工作流程（例如庫存管理、需求預測、倉庫管理和運輸規劃等）將會受到干擾，進而使整個供應鏈陷入停頓。」他認為這次事件強調了此類技術在零售、物流等行業中的不可或缺的地位。

企業或連鎖零售商在面對勒索軟體組織的網路攻擊時，竣盟科技 建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟：

1. 資料備份與復原計畫：定期備份重要資料於與主系統隔離的安全位置。
2. 更新軟體與弱點掃描：定期更新所有系統的作業系統、應用程式和防毒軟體；另外應定期檢查系統中可能存在的安全漏洞。
3. 多因子身份驗證 (MFA)：限制未經授權的使用者進入關鍵系統。
4. 網路分段 (Network Segmentation)：通過將網路進行分段，限制惡意軟體在被攻擊系統中的橫向移動。
5. 行為監控與威脅偵測：使用端點偵測與回應 (EDR) 工具，以及威脅情報分享。
6. 與外部專業團隊合作：與專業的資安公司合作，進行資訊安全評估、滲透測試等服務，以提升企業的資安防禦能力。