轉發法務部重要資安訊息
![轉發法務部重要資安訊息](https://www.tdri.org.tw/wp-content/uploads/2020/01/1350x1015-2-LOGO_s-1.jpg)
轉發法務部重要資安訊息-
109年5月4日至5日國內多家重要能源及科技公司接連遭勒索軟體攻擊,駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,除營運受到嚴重影響外,駭客亦要求交付贖金。為穩定重要能源及科技企業營運,並遏止網路犯罪,調查局成立專案小組迅速偵辦本案。
經查,駭客在數月前透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,俟竊取特權帳號後侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。
在犯案過程中,駭客亦留有後門程式連往境外中繼站,駭客係向美國境內之「雲端主機(VPS)」服務提供商(負責人係華裔人士)租用雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用,從本局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客,本局已透過國際合作管道協查境外的電子信箱及中繼站。
根據本局專案人員掌握情資顯示,駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊,依本案行為模式研判,駭客鎖定之10家企業應已遭入侵滲透並潛伏數月之久,在此呼籲國內企業即刻進行以下檢查:
資料來源