中油在5月4日時遭到勒索病毒攻擊,導致當時消費者僅能用現金及信用卡交易,而隨後又有台塑以及其它企業陸續傳出類似的攻擊事件。經過法務部調查局的追查,今天召開記者會表示,這一系列的攻擊為境外駭客集團「Winnti Group」所為。
👉 加入T客邦telegram送《任天堂Switch大補丸》 ( https://bit.ly/35gy8ig )
今年5月4日至5日國內多家重要能源及科技公司接連遭勒索軟體攻擊,駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,除營運受到嚴重影響外,駭客亦要求交付贖金。
調查局表示,這個駭客集團Winnti Group要求每部遭病毒攻擊的電腦需支付3千美金贖金(約新台幣9萬元),並對受害的企業表示,如果不付錢就會繼續攻擊國內10家其他企業。
而且,這群駭客佈局已久,在數月前透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,俟竊取特權帳號後侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。
在犯案過程中,駭客亦留有後門程式連往境外中繼站,駭客係向美國境內之「雲端主機(VPS)」服務提供商(負責人係華裔人士)租用雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用,從本局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客。
而根據他們的聲明,駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊。調查局表示,依照本案行為模式研判,駭客既然鎖定了這10家企業,也表示他們應已在這些企業的網路滲透並潛伏數月之久。
調查局呼籲國內企業即刻進行以下檢查:
1.檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。
2.觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。
3.注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。
4.更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染前之徵兆。
5.加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。
6.建立備份機制,並離線保存。
👉 加入T客邦telegram送《任天堂Switch大補丸》 ( https://bit.ly/35gy8ig )
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!