国内多家重要的能源、科技公司如台湾中油、台塑集团、力成科技日前接连遭到勒索软体攻击,法务部调查局成立专案小组进行侦办,15 日公布涉案的骇客组织与犯案手法,情资更显示骇客预谋近日针对国内 10 家企业再度发动新一波攻击。
包括中油、台塑、力成在 5 月 4 日至 5 日期间,接连遭到恶意攻击。骇客入侵并将勒索软体植入公司系统、个人电脑以及伺服器等资讯设备,造成重要档案无法开启、系统停摆,同时公司也被要求交付赎金。一连串攻击造成像是中油加油站无法正常使用捷利卡、中油 Pay 等服务,力成湖口厂区的部分伺服器遭病毒感染后紧急关闭,随后都已恢复正常运作。
经过调查局调查,骇客是在数个月前透过员工的个人电脑、网页以及资料库伺服器,入侵企业内部网路并展开刺探与潜伏,等待窃取帐号权限后侵入网域控制伺服器,并利用凌晨时段窜改群组原则(GPO)以派送具有恶意行为的工作排程。
当企业员工打开电脑则会立即套用 GPO 并执行该工作排程,等到核心上班时段,骇客预埋在内部伺服器中的勒索软体自动下载至记忆体中执行,当档案加密成功就会显示勒索讯息以及联络用的电子信箱。
在犯案过程中,骇客是向美国境内的「云端主机」(VPS)服务商(负责人为华裔人士)租用以作为中继站,并使用商用渗透工具 Cobaltstrike 进行远端存取控制。从调查局掌握的相关资讯,研判这波攻击的骇客组织为 Winnti Group、或与 Winnti Group 有密切关联的骇客,目前已透过国际合作管道协查境外的电子信箱以及中继站。
根据调查局掌握的情资显示,骇客组织甚至预谋近日针对国内 10 家企业再度发动新一波勒索软体攻击。这些企业恐已遭到入侵渗透并且潜伏数月之久,因此调查局呼吁国内企业即刻进行检查,包括重新检视企业网路防护机制,观察企业 VPN 有无异常登入行为或异常网路流量,留意具有软体派送功能的系统是否异动,以及加强监控企业网域中的特定权限帐号。切记更新防毒软体病毒码,留意防毒软体所发出的警告。更要建立备份机制,并且离线保存。
