根據最新資安報告，駭客利用 SonicWall 軟體漏洞，結合工程師將多因素驗證（MFA）恢復代碼以純文字形式儲存在桌面的疏忽，發動了一場成功的網路入侵。這起事件成為駭客如何利用看似微小的疏忽來發動大規模攻擊的典型案例。

勒索軟體集團 Akira 的成員首先透過此漏洞獲得初始存取權。他們發現了桌面上未加密的恢復代碼，使得繞過 MFA 變得輕而易舉。他們竊取了工程師的憑證，並利用這些憑證進入受害者組織的其他平台，進而獲得了系統的特權存取權。

未能加密敏感資料會讓您面臨巨大的攻擊風險。在最近的 SonicWall 攻擊浪潮中，入侵者至少有一次繞過了多因素身份驗證 (MFA)，因為用戶的恢復代碼 (recovery code)被留在了桌面上的一個純文字檔案中。這使得攻擊者的工作變得非常容易，並允許他們竊取工程師的憑證，然後轉向受害者組織使用的至少一個其他平台利用此存取權限，Akira 勒索軟體附屬組織能夠殺死受害組織的端點安全工具，並竊取憑證以冒充特權用戶並保持對受感染網路的持續存取。無論它們是離線儲存還是儲存在密碼管理器中，請務必時常輪換這些恢復代碼，並監控日誌中是否有任何異常的登入活動 - 即使它似乎來自組織內部，就像這次特定事件的情況一樣。

事件發生後，攻擊者利用竊取的憑證關閉了端點安全工具、取消隔離受感染的主機，並企圖卸載安全代理程式，為自己爭取了更多時間來竊取更多資訊。

資安專家強調，這起事件再度證明了基礎資安防護的重要性。即使是最先進的技術，也無法彌補人為疏失所造成的漏洞。建議組織應嚴格遵守資安政策，要求員工使用加密的密碼管理器或加密檔案來儲存所有敏感資料。此外，應定期輪換所有帳號的恢復代碼，並建立完善的日誌監控機制，以便及時發現任何異常的登入或系統活動。及早發現和應對可疑行為，是防止勒索軟體攻擊擴大危害的關鍵。

此事件提醒我們，資安防護不僅是技術問題，更是一種企業文化。只有從每個員工的日常行為做起，才能共同築起堅固的防線，有效抵禦日益猖獗的網路威脅。

資料來源：https://www.theregister.com/2025/09/15/ransomware_recovery_codes_plaintext/