• 公所簡介
  • 最新消息
  • 教育訓練
  • 會員專區
  • 產品搜尋
  • 共同天線
  • 招標訊息
  • 意見交流
  • 活動剪影
  • 下載專區

會員登入

忘記密碼
法務部調查局針對國內重要企業遭勒索軟體攻擊事件調查說明 調查局呼籲國內企業即刻進行以下檢查
首頁 » 最新消息

 https://www.mjib.gov.tw/news/Details/1/607

109年5月4日至5日國內多家重要能源及科技公司接連遭勒索軟體攻擊,駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備,儲存的重要檔案均無法開啟,除營運受到嚴重影響外,駭客亦要求交付贖金。為穩定重要能源及科技企業營運,並遏止網路犯罪,調查局成立專案小組迅速偵辦本案。

經查,駭客在數月前透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,俟竊取特權帳號後侵入網域控制伺服器(AD),並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當員工打開電腦會立即套用GPO並執行此工作排程,待核心上班時段,自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行,若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。

在犯案過程中,駭客亦留有後門程式連往境外中繼站,駭客係向美國境內之「雲端主機(VPS)」服務提供商(負責人係華裔人士)租用雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用,從本局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客,本局已透過國際合作管道協查境外的電子信箱及中繼站。

根據本局專案人員掌握情資顯示,駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊,依本案行為模式研判,駭客鎖定之10家企業應已遭入侵滲透並潛伏數月之久,在此呼籲國內企業即刻進行以下檢查:

1.檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。

2.觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。

3.注意具軟體派送功能之系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。

4.更新防毒軟體病毒碼,留意防毒軟體發出之告警,極可能是大範圍感染前之徵兆。

5.加強監控網域中特權帳號,應限定帳號使用範圍與登入主機。

6.建立備份機制,並離線保存。

 

istanbul escort istanbul escort şişli escort şişli escort maslak escort istanbul escort beşiktaş escort taksim escort tbilisi escort izmir escort ümraniye escort mecidiyeköy escort şişli escort şişli escort taksim escort ümraniye escort kartal escort şirinevler escort maltepe escort istanbul escort ümraniye escort kadıköy escort vip escort mersin escort istanbul escort ataköy escort avcılar escort beylikdüzü escort okmeydanı escort şişli escort tuzla escort sex shop istanbul escort işitme cihazı sex shop sex shop sex shop sex shop sex shop sex shop sex shop