駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,除營運受到嚴重影響外,駭客亦要求交付贖金,驚動調查局成立專案小組迅速偵辦本案。(圖/截自中油電腦遭受勒索病毒畫面)
優傳媒記者黃世澤/調查報導
《優傳媒》日前報導過中油和台塑石化遭駭客入侵,昨天再傳中油電腦疑似二度遭駭,經中油澄清只是虛驚一場。法務部調查局指駭客針對國內10家企業入侵滲透並潛伏數月之久,再度發動勒索軟體攻擊,呼籲國內企業即刻進行資安檢查。
今年5月4日至5日中油和台塑石化多家重要能源及科技公司接連遭勒索軟體攻擊,駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,除營運受到嚴重影響外,駭客亦要求交付贖金,驚動調查局成立專案小組迅速偵辦本案。
駭客「勒索軟體」喊價一台電腦解密美金三千元,調查局資通處資安站調查,研判駭客組織為海外的「Winnti Group」或與其有關係者,正透過國際管道請求協查境外電子信箱、中繼站。
台塑集團表示,包括台塑化、台塑等相關企業工廠操作正常,沒有因電腦病毒侵入而衍生環保或工安問題。台塑石油加盟站表示,受到病毒的影響,與台塑總公司連線的加油卡暫時停用改收現金交易。
調查局資安站指出,網路駭客在幾個月前透過員工個人電腦、網頁及DB伺服器,入侵被害公司內部網路刺探、潛伏,等到竊取特權帳號後,即侵入網域控制伺服器。
駭客利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。
調查局專案人員掌握情資顯示,駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊,依本案行為模式研判,駭客鎖定之10家企業應已遭入侵滲透並潛伏數月之久,呼籲國內企業即刻進行以下檢查:
1.檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。
2.觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。
3.注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。
4.更新防毒軟體病毒碼,留意防毒軟體發出之警告,極可能是大範圍感染前之徵兆。
5.加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
6.建立備份機制,並離線保存。
