記者楊佩琪／台北報導【三立新聞網】

日前包括中油、台塑化等多家企業、銀行、科技公司紛紛傳出遭駭客以惡意勒索軟體攻擊，調查局接獲情資發現，駭客似乎正預謀，要對台灣至少10家企業再度發動攻擊，而該些企業似乎早被滲透數月之久，提醒國內所有企業都應即刻做好資安防護工作。

調查局表示，駭客在數月前便透過員工個人電腦、網頁及DB伺服器，入侵公司內部網路並開始刺探、潛伏，待竊取得手特權帳號後，侵入網域控制伺服器(AD)，竄改群組原則(GPO)，以派送惡意行為工作排程。

當員工一打開電腦，GPO就會立即執行經竄改的排程，核心上班時段一到，便又自動執行勒索軟體下載至記憶體中，若檔案加密成功，即會顯示勒索訊息及聯絡電子信箱。根據了解，駭客要求，若要將被感染的電腦「解毒」，得依指示交付3000美金，要完全解除惡意程式，金額相當可觀。

初步追查發現，駭客留有後門程式連往境外中繼站，為向美國境內「雲端主機(VPS)」服務提供商租用之雲端主機，並使用商用滲透工具Cobaltstrike作為遠端存取控制之用。目前可研判該駭客組織為「Winnti Group」或與該組織有密切關聯者，已透過國際合作管道協查境外電子信箱及中繼站。

由於有進一步情資顯示，該駭客組織似乎正預謀，近日將針對國內至少10家企業再度發動攻擊，呼籲各企業都應即刻強化資安防護工作。

調查局建議企業可進行以下檢查：

1.檢視企業網路防護機制，如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。
2.觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量，如異常的DNS Tunneling、異常對國內外VPS的連線等。
3.注意具軟體派送功能之系統，如網域/目錄(AD)伺服器、防毒軟體、資產管理系統，尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。
4.更新防毒軟體病毒碼，留意防毒軟體發出之告警，極可能是大範圍感染前之徵兆。
5.加強監控網域中特權帳號，應限定帳號使用範圍與登入主機。
6.建立備份機制，並離線保存。

記者楊佩琪／台北報導【三立新聞網】

台灣中油公司日前傳出遭駭客以惡意程式攻擊，造成全台加油站無法使用捷利卡及中油PAY等多項APP支付服務。調查局接獲通報後追查，發現該「病毒」為從未見過的新型病毒，初步了解源頭來自海外，利用跳板模式躲避查緝，目前持續追查為從哪個國家發出，也呼籲企業應加強資安防護工作。

不僅中油，台塑化等企業、銀行業日前皆陸續收到勒索郵件，要求企業高層需在5天內答覆、談判，否則便會發動攻擊，隨後也確實出現惡意程式攻擊狀況。中油當時緊急已斷網處理，做到損傷控制，但到底攻擊從哪來？有何目的？都還是未知。

調查局接獲中油報案後進行追查，發現透過現有資料庫比對，竟無法比對出惡意程式資料，研判為「新型病毒」，源自海外以跳板模式入侵，是從哪個國家發出目前尚未得知，提醒企業主應加強資安防護工作，封鎖駭客犯案機會。

【圖片來源：中央社】

病毒太強？民怨還不能加油　中油：電腦逐站檢測中