劉家榮表示, 4日至5日國內共有3家重要能源及科技公司的內部系統、個人電腦及伺服器等資訊設備,接連遭勒索軟體攻擊,造成重要檔案均無法開啟,使營運受到嚴重影響,並收到駭客要求交付贖金的電郵。為穩定國內重要能源及科技企業營運、遏止網路犯罪,調查局遂成立專案小組偵辦。
經查發現,駭客在數月前透過Web伺服器、員工個人電腦、網頁等途徑,入侵公司內部網路潛伏,竊取特權帳號後侵入網域控制伺服器(AD),並利用AD的派送功能將勒索加密軟體散佈至全公司電腦。駭客利用凌晨時段竄改群組原則(GPO)派送工作排程,並預埋lc.tmp惡意程式;當員工上班打開電腦時,會立即套用遭竄改的GPO並自動下載,執行勒索軟體。
劉家榮指出,若電腦中的檔案遭加密成功,會顯示勒索訊息及聯絡電郵帳號。同時,駭客也留有連往境外中繼站的後門程式,該中繼站為駭客向美國雲端主機(VPS)服務提供商「petaexpress.com」所租用,並使用商用滲透工具Cobaltstrike作為遠端存取控制器;據了解,「petaexpress.com」的負責人是華裔人士,而該駭客組織為Winnti Group或與其關係密切的駭客,目前已由國外司法單位協查。
然而,劉家榮也提醒,根據情資顯示,駭客將在近日針對國內10家企業再度發動攻擊,研判遭駭客鎖定的10家企業應已遭入侵潛伏長達數月,因此國內企業應立即檢查對外網路服務是否存在漏洞或破口,重要主機應關閉遠端桌面協定(RDP)功能等;並觀察企業VPN有無異常登入行為或遭安裝SoftEther VPN及異常網路流量,如異常的DNS Tunneling、異常對國內外VPS的連線等。
此外,國內企業應注意具軟體派送功能的系統,如網域/目錄(AD)伺服器、防毒軟體、資產管理系統,尤其是AD伺服器的群組原則遭異動、工作排程異常新增等;並更新防毒軟體病毒碼,留意防毒告警,極可能是大範圍感染前之徵兆;加強監控網域中特權帳號,應限定帳號使用範圍與登入主機,並建立備份機制,離線保存。