国内多家重要的能源、科技公司如台湾中油、台塑集团、力成科技日前接连遭到勒索软件攻击,法务部调查局成立专案小组进行侦办,15 日公布涉案的骇客组织与犯案手法,情资更显示骇客预谋近日针对国内 10 家企业再度发动新一波攻击。
包括中油、台塑、力成在 5 月 4 日至 5 日期间,接连遭到恶意攻击。骇客入侵并将勒索软件植入公司系统、个人电脑以及服务器等资讯设备,造成重要档案无法开启、系统停摆,同时公司也被要求交付赎金。一连串攻击造成像是中油加油站无法正常使用捷利卡、中油 Pay 等服务,力成湖口厂区的部分服务器遭病毒感染后紧急关闭,随后都已恢复正常运作。
经过调查局调查,骇客是在数个月前透过员工的个人电脑、网页以及数据库服务器,入侵企业内部网络并展开刺探与潜伏,等待窃取账号权限后侵入网域控制服务器,并利用凌晨时段窜改群组原则(GPO)以派送具有恶意行为的工作排程。
当企业员工打开电脑则会立即套用 GPO 并执行该工作排程,等到核心上班时段,骇客预埋在内部服务器中的勒索软件自动下载至内存中执行,当档案加密成功就会显示勒索讯息以及联络用的电子信箱。
在犯案过程中,骇客是向美国境内的“云端主机”(VPS)服务商(负责人为华裔人士)租用以作为中继站,并使用商用渗透工具 Cobaltstrike 进行远端存取控制。从调查局掌握的相关资讯,研判这波攻击的骇客组织为 Winnti Group、或与 Winnti Group 有密切关联的骇客,目前已透过国际合作管道协查境外的电子信箱以及中继站。
根据调查局掌握的情资显示,骇客组织甚至预谋近日针对国内 10 家企业再度发动新一波勒索软件攻击。这些企业恐已遭到入侵渗透并且潜伏数月之久,因此调查局呼吁国内企业即刻进行检查,包括重新检视企业网络防护机制,观察企业 VPN 有无异常登入行为或异常网络流量,留意具有软件派送功能的系统是否异动,以及加强监控企业网域中的特定权限账号。切记更新防毒软件病毒码,留意防毒软件所发出的警告。更要建立备份机制,并且离线保存。
(首图来源:pixabay)
延伸阅读:
- 力成湖口厂遭勒索病毒攻击,生产作业影响有限
- 连两日爆资安事件!台塑系统也异常,已关机调查
- 台湾中油系统传遭恶意攻击,捷利卡、中油 Pay 等暂停使用
