離開
進入中油等3企業電腦遭攻擊每台勒贖3千美元 駭客揚言再攻擊10家企業
調查局今召開記者會,說明國內3家企業遭勒索軟體攻擊調查結果。(記者陳薏云攝)
〔記者陳薏云/新北報導〕負責全台供油的台灣中油及台塑石化本月4日起陸續遭惡意軟體攻擊,記憶體封測廠力成前天也中鏢,生產短暫停擺調查局立案追查,已查出勒索源頭來自海外駭客集團「Winnti Group」,並鎖定6組德國及瑞士境內電子郵件帳號,交國外司法單位調查,另該駭客集團也揚言要對台灣10家企業進行攻擊,因此調查局也呼籲國內企業應立即檢查是否有遭勒索軟體潛伏。
據調查,該駭客集團「Winniti Group」數月前就透過員工個人電腦、網頁及DB伺服器入侵公司內部網路並開始刺探及潛伏,待竊取到特權帳號後便侵入網域控制伺服器,利用凌晨時段竄改群組原則(GPO)裡的工作排程,待員工上班後就會立即套用,執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,並顯示勒索訊息及聯絡電子信箱。
調查局表示,該勒索軟體造成中油捷利卡、車隊卡等無法使用,台塑集團也發現電腦系統異常,另力成則傳出湖口三個廠區遭攻擊,緊急關機並掃毒後恢復生產。介入調查後發現,該集團寄送勒索郵件,表示企業須支付一台電腦3千美元的贖金,否則就要公布自公司竊取的內部資料。
調查局目前已查出攻擊來源為海外,並取得6組德國及瑞士境內店子郵件帳號,另外發現駭客亦留有後門程式連往境外中繼站,向美國境內VPS主機服務商「petaexpress.com」租用雲端主機,此部分也交由國外司法單位調查中。
雖然目前國內3家企業遭勒索軟體攻擊事件暫時已解決,但該駭客集團揚言要對國內10家企業進行攻擊,調查局表示,目前尚無法掌握10家企業的確切名單,因此呼籲國內企業應進行以下檢查:
一、檢視企業網路防護機制,檢視現有對外網路服務是否存在漏洞與破口,重要主機關閉RDP功能。
二、觀察企業VPN有無異常登入或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線。
三、注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增。
四、更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染之徵兆。
五、加強監控網域中特權帳號、限定帳號使用範圍與登入主機。
六、建立備份機制,並離線保存。
