勒索攻擊
」 駭客 資安 勒索病毒
俄羅斯駭客組織「齊林」橫掃全球 2025年已爆700起勒索攻擊
目前有網路安全研究人員揭露,以俄羅斯為基地的駭客組織「齊林」(Qilin)在2025年已聲稱完成第700起勒索軟體攻擊,成為當前全球最活躍的網攻集團之一。Comparitech的分析指出,這個組織自2022年出現以來迅速壯大,2024年共發動179起攻擊,而2025年的規模已成長近四倍。根據《Cybernews》報導指出,齊林採取所謂「勒索軟體即服務」(ransomware-as-a-service)的營運模式,將惡意軟體與入侵基礎設施出租給其他駭客組織,由他們實際發動攻擊並分享贖金。這種結構讓其行動擴散速度極快。尤其在2025年4月另一大型勒索平台「勒索中心」(RansomHub)關閉後,齊林吸收了大量流失的附屬駭客,攻擊量隨即暴增280%,短短數月從185起攀升至超過701起。研究顯示,齊林最常鎖定製造業、金融業、零售業、醫療體系與政府機構等存有大量機密資料的單位。其著名攻擊案例包括日本最大啤酒商朝日控股(Asahi Holdings),事件造成啤酒與軟性飲料供應短缺;以及法國大眾集團(Volkswagen Group France),該案據稱外洩2,000個檔案、約150GB內部資料。朝日集團至今仍在修復系統,法國阿盧佩皮尼昂公司(Alu Perpignan)則因攻擊導致營運停擺三週,損失等同三個月營收。Comparitech資料顯示,齊林的目標範圍涵蓋全球200多個國家,其中美國受害最深,共有375起攻擊,其次為法國41起、加拿大39起、南韓33起及西班牙26起。整體而言,該組織在所有已知事件中共竊取116TB資料,洩漏超過78萬筆記錄。學術與政府單位在過去一年也成為新焦點。教育機構遭受的攻擊數量從2024年至2025年間激增420%,政府機關增加344%,而醫療體系的成長幅度則為125%。其中,日產汽車(Nissan)旗下設計子公司「日產創意盒」(NissanCreativeBoxInc.)遭竊超過4TB設計資料,疑似涉及競爭情報外洩風險。在所有事件中,贖金金額動輒數百萬美元。馬來西亞機場控股公司(Malaysia Airports Holdings Bhd)今年3月遭攻擊後被索討1,000萬美元贖金,事件癱瘓吉隆坡國際機場(KualaLumpur International Airport)系統,官方拒絕付款;美國克里夫蘭市政法院(Cleveland Municipal Court)2月遭攻擊,駭客要求400萬美元;西班牙自治城市梅利利亞(Ciudad Autónomade Melilla)在6月的攻擊中被勒索212萬美元,並傳出4至5TB資料遭竊。Comparitech資料研究部主管穆迪(Rebecca Moody)指出,齊林藉由將惡意軟體租賃給其他駭客,使其活動範圍急速擴張。她說:「在短短數月內,它就鎖定了數百家企業,造成前所未見的混亂。」穆迪補充,光是2025年10月,齊林新增的受害者就超過百家,顯示其行動仍持續加速中。
勒索集團WarLock攻擊次數激增 躋身全球前20大勒索攻擊者
勒索軟體集團WarLock曾於7月被指與Microsoft SharePoint零日漏洞攻擊有關,現已由英國網路安全公司Sophos研究團隊以代號GOLDSALEM追蹤。而Sophos日前提出警告,該集團近期攻擊行動急速升溫,展現出結合傳統手法與新技術的模式。根據《Cybernews》報導,WarLock也被Microsoft內部標記為Storm2603,早在今年3月就已展開勒索行動。Sophos最新情報指出,僅在9月,WarLock就在其暗網平台「WarLockClientDataLeakShow」聲稱已有60名受害者,攻擊範圍橫跨北美、歐洲與南美洲,對象涵蓋中小企業、政府機構與跨國公司。今年8月,WarLock對兩家電信巨頭發動攻擊,包括法國數位服務供應商Orange與英國總部的Colt。該集團聲稱自Colt竊取多達100萬份文件,並在洩漏網站標註「拍賣進行中」。同一時期,全球航空聯盟「星空聯盟」(StarAlliance)也被點名為受害者,貼文甚至宣稱「數據已被其他買家購得」,但該公司尚未公開證實。與其他勒索集團不同,WarLock公布的受害者資訊極為有限,貼文通常不列出攻擊日期或樣本檔案,只標註資料狀態為「已發布」或「出售」,有時附上下載連結。該組織還強調,若受害者拒絕支付贖金,數據將被公開,並聲稱「不負責任的公司」應自行承擔後果。Sophos調查顯示,WarLock在6月前幾乎未有公開活動,直到俄羅斯地下論壇Ramp出現徵求漏洞的貼文,內容涉及Veeam、ESXi、SharePoint等常用應用程式,以及干擾端點偵測與回應(EDR)的工具。7月下旬,Microsoft證實觀察到中國國家支持的攻擊者利用SharePoint零日漏洞部署WarLock勒索軟體,全球數千家企業遭到影響。該漏洞最早於7月18日被中國駭客組織SaltTyphoon利用,當時約有100家機構遭鎖定;由於修補程式未能及時發布,額外超過1萬台伺服器面臨風險,其中不乏政府單位。Sophos指出,WarLock展現高度熟練的攻擊手法,包括利用SharePoint漏洞結合自製ToolShell鏈,安裝基於Golang的WebSockets伺服器維持滲透,同時濫用合法工具Velociraptor建立隱蔽通道。研究人員還發現,該集團使用Mimikatz竊取憑證,並透過PsExec與Impacket在網路中橫向移動,最後利用GPO大規模推送勒索軟體載荷。資安專家提醒,各機構必須強化攻擊面監控,建立嚴格的外部服務修補政策,並確保具備即時事件回應能力。Sophos已將WarLock列為過去12個月內最活躍的前20名勒索集團之一,並強調深入了解其運作方式,對企業提升防禦至關重要。
CrazyHunter 攻擊龍頭醫院二度破案 調查局逮2台人追查3陸嫌
駭客集團CrazyHunter於今(2025)年2、3月間,陸續針對我國多家大型醫療機構以及企業進行加密勒索攻擊,並恐嚇要求給付贖金。調查局台北市調處獲報以後,報請台北地檢署指揮偵辦,成功查獲劉姓、鄭姓2名犯嫌,並於訊後交保3萬元。另外將羅姓嫌犯列為通緝,並將徐嫌、陸籍販售個資集團趙姓成員依個資法等罪移送台北地檢署偵辦。台北市調處調查發現, CrazyHunter 集團將駭侵竊取之國人個資販售予不法集團,並於今年5到8月間會同資安工作站及花蓮縣調查站同仁執行3波搜索,約談鄭嫌,另將企圖潛逃出境的劉嫌拘提到案,查扣之電腦設備存有數萬筆內含大批國內、外民眾個資檔案,以及與 CrazyHunter 集團交易跡證,涉犯非法蒐集、處理、利用個資等。經檢察官複訊以後,劉嫌與鄭嫌以3萬元交保並限制出境,而陸籍羅嫌則被列為通緝,徐嫌及趙嫌則一併依照涉犯刑法妨害電腦使用、恐嚇取財以及個資法等罪嫌,移送至台北地檢署進行偵辦。犯罪關係圖。(圖/翻攝畫面)刑事局今年3月也偵破「CrazyHunter」駭客案,CrazyHunter」攻擊的對象集中在臺灣關鍵基礎設施,包括馬偕紀念醫院、彰化基督教醫院、亞洲大學及其附設醫院、喬山健康科技、華城電機、科定企業等至少七家機構。單一勒索金額從80萬至250萬美元不等,總額上看3億臺幣。此案不僅是臺灣歷來規模最大、影響最廣的勒索攻擊之一,駭客攻擊源頭與手法雙雙翻新,引發國內資安圈震撼。
資安戰爭升級 台灣站上全球前線 AI與零信任成新世代防禦核心 Zscaler台灣總監莊劍偉:跨域團隊與國際合作成關鍵
隨著全球數位轉型加速,網路攻擊的頻率與複雜度正以前所未有的速度攀升。根據台灣國安局統計,2024年政府機關平均每日遭受駭客攻擊高達240萬次,較前一年翻倍成長;民間企業每週平均則面臨3,993次攻擊,居亞太地區之首。這些數字不僅突顯台灣在地緣政治下的資安高風險位置,也意味著資安已從單純的技術議題,正式升格為國家安全的核心戰線。全球資安新局:從勒索病毒到生成式AI風險近十年來,國際間的重大資安事件層出不窮。從2017年的NotPetya勒索軟體攻擊、2020年的SolarWinds供應鏈入侵、2021年的Microsoft Exchange資料外洩,到2024年發生的CrowdStrike更新當機事件,均揭露了軟體與系統在全球高度互聯下的脆弱性。同時,新興技術也帶來不可忽視的資安挑戰。生成式AI能協助企業提升效率,卻也可能被濫用於釣魚郵件、Deepfake詐騙與假資訊製造。後量子密碼學、元宇宙與AI基礎設施的崛起,更讓資訊安全風險呈現高度不確定性。台灣挑戰:醫療、半導體到金融的多重威脅 資安政策由被動轉主動台灣近年多起駭客事件,凸顯資安防護的迫切性。包括台積電高階製程機密疑遭日本供應商外洩、馬偕醫院與彰化基督教醫院遭勒索攻擊,甚至有駭客利用Google日曆事件或Google Sheets作為資料竊取的中繼站。金融產業同樣面臨挑戰。金管會放寬委外上雲規範後,金融機構的首要課題就是如何兼顧雲端成本與資安韌性。《金融資安行動方案2.0》明確要求導入零信任架構,透過身分驗證、設備檢測與分段管理,來確保客戶資料與交易安全。Zscaler台灣總監莊劍偉表示:「這些事件暴露出台灣產業與公共服務的脆弱環節,台灣政府應該將資安納入醫院與金融資訊體系政策中,讓醫療系統與金融數位轉型政策從「被動應對」轉向「主動防禦」」。新世代防禦:零信任2.0與AI驅動資安面對日益複雜的攻擊,零信任架構(Zero Trust Architecture, ZTA)已成為全球防禦的標準典範。與傳統「內網可信」模式不同,零信任強調「永不信任,持續驗證」。在台灣,資安研究院推動的零信任導入,正從自評檢核到驗測機制逐步落實,並強調微分割、軟體定義邊界與持續風險評估的應用。進一步來看,零信任也正進化到2.0階段。ZT 2.0不僅強化身份與網路分段,更融入機器學習與AI演算法,實現「持續監控與驗證」,並延伸至供應鏈與OT(營運科技)場域。AI則被視為資安防禦的加速器。生成式AI可模擬駭客攻擊情境,提升演練真實度;代理型AI(Agentic AI)則能自動化分析告警、縮短事件處理時間。Zscaler台灣總監莊劍偉表示:Zscaler於2025年推出的「AI驅動資料安全分類」功能,能以「類人直覺」識別超過200種敏感內容,大幅提升偵測效率。這是全球目前針對AI資安最新解決方案。國際戰略:各國資安布局與台灣的應對歐美與亞洲主要國家近年陸續發布資安戰略:美國:在《國家安全戰略》中強調大幅投資資安產業與創新技術,並推動行政命令EO 14028加強供應鏈安全。歐盟:推動NIS2、CRA等新規範,提升成員國韌性並加強協作。日本:2021年發表第三版《網路安全戰略》,呼應後疫情數位社會需求。英國:2022年《國家網路戰略》聚焦企業防禦與國際合作。相較之下,台灣身為出口導向國家,資安不僅是國安問題,更與產業鏈競爭力直接掛鉤。數發部資安署規劃在四年內投入至少88億元,培育1500名專業人力、提升資安產值至1,200億元,並建置政府骨幹網路AI防禦機制,逐步實現「智慧國家」願景。Zscaler台灣總監莊劍偉:跨域團隊與國際合作成關鍵Zscaler台灣總監莊劍偉指出,單靠技術無法全面應對新世代威脅,必須結合技術、情報與安全專家,組建跨域團隊,強化Secure AI、Secure Autonomous、Secure Medical Devices等產業的資安方案,才能有效預測攻擊路徑並制定防禦策略,莊劍偉也呼籲台灣應積極參與國際合作,推動資安標準互認,並建立針對智慧製造、醫療器材、太空產業等關鍵領域的資安合作框架,以便在全球供應鏈中鞏固地位,可以預見,台灣若能結合AI創新、零信任架構與跨國合作,不僅能抵禦日益複雜的資安威脅,更有機會在2030年前,成為全球智慧時代的資安產業領導國。
以惡制惡!打擊加密貨幣盜竊與網路詐騙 美議員提案復刻「18世紀私掠令」反擊
美國國會近日提出一項極具爭議性的法案,準備授權國家認可的「海盜」對網路犯罪分子展開打擊。根據《Cointelegraph》報導,亞利桑那州(Arizona)聯邦眾議員施韋克特(David Schweikert)於8月提出《2025年詐騙農場私掠許可授權法案》(The Scam Farms Marque and Reprisal Authorization Act of 2025),主張總統可發出私掠狀,讓經政府認證的私人個人或團體,行使類似海盜的執法權力,針對被認定為國安威脅的網路犯罪分子進行財產扣押與處罰。法案特別列明,加密貨幣竊盜、「殺豬盤」詐騙、勒索軟體攻擊、身份竊盜、未經授權存取電腦、惡意程式攻擊等行為,都是重點打擊對象。文件將這些犯罪行為描述為現代「戰爭行為」,不僅針對個人,還涉及有組織犯罪及外國政府對美國利益的侵害。施韋克特表示,這套制度仿效18世紀「私掠狀」模式,未來將對資安威脅與非法資產扣押帶來深遠影響。在美國國內,相關執法案例屢見不鮮。例如今年7月,加密貨幣資產被盜總額超過1.42億美元,截至2025年已突破30億美元。美國聯邦調查局(FBI)達拉斯分部曾行動沒收Chaos勒索軟體組織的20顆比特幣,價值超過230萬美元。美國司法部(DOJ)也自BlackSuit勒索軟體組織中沒收價值100萬美元的加密資產。8月時,司法部還從伊亞尼斯.阿列克桑德羅維奇.安特羅潘科(Ianis Aleksandrovich Antropenko)手中,扣押了價值280萬美元的加密貨幣,這些資產多半來自對企業與個人的勒索攻擊。事實上,美國總統川普(Donald Trump)已於1月已簽署行政命令,設立比特幣及加密貨幣儲備。此一儲備僅能透過預算中立機制或資產沒收方式取得新資產。根據現行運作,執法單位沒收的加密貨幣經法院程序後,通常歸為政府資產。施韋克特認為,透過賦予總統更大彈性,可直接授權私人團體協助追查與沒收網路犯罪資產,以因應日益嚴峻且快速演變的資安威脅,對抗各類勒索與詐騙行為。倘若法案通過,未來美國執法機關將結合民間資安力量,共同打造網路治理的新局面。
台灣受網攻頻率亞太最高!每週遭逾4千次攻擊 3大產業最慘
根據全球資安大廠「Check Point Software Technologies Ltd.」旗下威脅情報部門Check Point Research於24日發布的最新調查顯示,2025年第二季全球企業與組織平均每週遭受1984次網路攻擊,較2024年同期增長21%,與2023年相比則大幅成長58%。其中,台灣所面臨的網路攻擊情況尤為嚴峻,平均每週遭攻擊高達4055次,為全球平均值的兩倍,居亞太地區之冠。報告指出,今年1月至7月初,台灣受攻擊最頻繁的三大產業分別為硬體供應商、政府與軍事機構及製造業。硬體產業每週平均遭攻擊8139次,政府與軍事機構為5042次,製造業則達4983次,顯示台灣關鍵產業成為高度攻擊目標。在惡意軟體方面,Check Point Research指出,台灣最常遭遇的類型包括遠端存取木馬(如 Remcos、Agent Tesla)、竊密軟體(如 Androxgh0st、AZORult)及殭屍網路(如 Androxgh0st)。而資訊外洩則為台灣最常見的漏洞類型,影響範圍高達78%的組織,反映資安防護尚有提升空間。放眼全球產業別攻擊統計,教育與研究機構為受攻擊最頻繁類型,每週平均達4388次,年增幅31%,原因多與資安投入不足及學生、教職員的個資價值相關。政府與軍事機構排名第二,每週平均2632次攻擊,主因在於其擁有的敏感資料與對地緣政治的潛在影響。通訊業則以2612次居第三,年增幅高達38%,顯示掌握大量用戶資訊的產業也已成為駭客集中火力的目標。Check Point Research也給出資安建議,組織需採取主動的策略包含:強化威脅預防能力:導入如入侵防禦系統(IPS)、防勒索軟體工具與威脅情資等先進資安技術,阻擋潛在的資安威脅。 提升端點與網路防護:部署功能完善的防火牆、電子郵件安全機制與端點保護平台(EPP)降低攻擊面。加強使用者資安意識:定期進行資安訓練與釣魚模擬演練,協助員工識別並通報可疑行為。 確保備份與復原機制:建立更新且分隔的備份資料,並定期測試復原流程,以減少勒索攻擊或其他中斷所造成的影響。 導入零信任架構:持續以使用者權限驗證、網路資源分段,降低橫向移動風險。 確保掌握資訊:持續關注威脅情資與警示,預先掌握潛在風險。確保掌握資訊:持續關注威脅情資與警示,預先掌握潛在風險。
以色列砲轟「駭客團體重出江湖」 Pay2Key對美以發動網攻「獲利1.17億」
與伊朗有關的勒索軟體(RaaS)Pay2Key,近期重新現身,並開始針對以色列與美國發動網路攻擊,背後提供的獲利誘因比過往更高,成為近期資安界關注焦點。該行動以Pay2Key.I2P之名重新啟動,與知名駭客組織Fox Kitten(又稱Lemon Sandstorm)有密切聯繫,並被認為與Mimic勒索軟體存在合作關係。根據《Cybernews》報導,Morphisec資安研究員庫爾明(Ilia Kulmin)表示,Pay2Key.I2P結合了Mimic的勒索技術,且公開向支持伊朗或參與針對伊朗敵對國家攻擊的犯罪者提供80%的利潤分成,比先前的70%更為優渥,這反映出背後組織在意識形態上的鮮明立場。事實上,美國政府早前就曾揭露,該類與伊朗有關的進階持續性威脅(APT)組織,曾與NoEscape、RansomHouse及BlackCat(又稱ALPHV)等團體合作,透過各種方式發動勒索攻擊。伊朗駭客利用Pay2Key的記錄可追溯至2020年10月,當時曾鎖定以色列企業,手法多為利用既有資安漏洞。目前Pay2Key.I2P再次現身,並宣稱在短短四個月內已成功勒索51筆贖金,獲利超過400萬美元(折合新台幣約1.17億元),個別參與者平均可分得10萬美元以上。儘管表面上以財務利益為目標,該行動實際隱含濃厚的意識形態色彩,其攻擊對象鎖定以色列與美國,顯然不僅為了金錢而來。此次重新登場的Pay2Key.I2P,更被認為是首個已知直接架設於Invisible Internet Project(I2P)之上的RaaS平台,與過去僅將I2P作為指揮與控制(C2)通訊管道不同。瑞士資安公司PRODAFT曾於3月發文示警該平台異常行為,該內容隨後也被Pay2Key.I2P官方帳號轉發確認。更引人注意的是,該組織於俄羅斯暗網論壇以名為「Isreactive」的帳號發文,公開宣稱任何人只要支付20,000美元即可部署此勒索軟體,並承諾每筆成功攻擊將給予報酬,徹底改變傳統RaaS的運作模式。庫爾明認為,這套新模式讓開發者從單純販售軟體轉向直接分潤勒索所得,建立更為去中心化的犯罪生態系統。截至今年6月,Pay2Key已擴充功能至支援Linux系統,Windows版本則透過自解壓(SFX)封裝檔傳遞。為規避偵測,其新版本內建多種技術,可於攻擊時關閉Microsoft Defender防毒,並自動清除惡意程式殘留物,降低遭取證機會。根據SonicWall Capture Labs觀察,該勒索軟體還利用偽裝成Microsoft Word文件的可攜式執行檔進行初步感染,進一步透過cmd檔啟動加密程序與投放勒索信。Morphisec指出,這場行動展示了伊朗國家級網路戰與全球網路犯罪的融合風險,累積贖金已逾400萬美元,並對西方組織構成實質威脅。
駭客新勢力1/CrazyHunter攻擊龍頭醫院、企業 非俄語模式標榜「誠信勒索」
刑事局日前偵破一起專門針對臺灣龍頭醫院、大學與上市公司發動的大規模網路攻擊案,該組織自稱「CrazyHunter」,這次攻擊的對象集中在臺灣關鍵基礎設施,包括馬偕紀念醫院、彰化基督教醫院、亞洲大學及其附設醫院、喬山健康科技、華城電機、科定企業等至少七家機構。單一勒索金額從80萬至250萬美元不等,總額上看3億臺幣。此案不僅是臺灣歷來規模最大、影響最廣的勒索攻擊之一,更首度顯示駭客攻擊源頭與手法雙雙翻新,引發國內資安圈震撼。馬偕醫院今年2月遭駭客入侵竊取病患個資,並收到駭客勒索信。(圖/黃威彬攝)過往臺灣遭駭客鎖定時,攻擊源多來自俄羅斯、烏克蘭等俄語系國家及地區,但這次主嫌則為來自中國浙江的20歲羅姓男子。業界分析,俄烏戰爭爆發後,當地駭客組織動員力下降,網攻主力轉移,中國駭客疑似趁虛而入,臺灣成為新興駭客測試場。據了解,CrazyHunter的手法不像傳統駭客僅將資料加密後寄出勒索信,而是直接在入侵後完整備份受害者資料,再以公開外洩為威脅,要求支付高額贖金。這種手法突破了過去「你付錢,我給你解密金鑰」的單一勒索模式,而是轉向「雙重勒索」甚至「純外洩威脅」,對受害者造成更嚴重的壓力。這種「備份再外洩」模式操作門檻低、效率高,極易被其他駭客組織仿效,未來恐成國際主流攻擊手法。更值得關注的是,CrazyHunter在勒索攻擊中引入「品牌化信任機制」,讓犯罪模式更趨成熟。他們自詡不如曾勒索鴻海、宏碁、廣達、日月光的駭客組織「Revil」貪婪(共約勒索45億台幣),也不如LockBit張揚(曾駭入英國皇家郵政,揚言公開內部資料)。CrazyHunter主打履約可信。他們允許受害者先支付50%贖金以延後資料外洩,並提供一份修補漏洞的技術指南作為付款回饋,甚至拍攝刪除資料的影片作證。最特別的是,該組織聲稱將所有履約過程紀錄於區塊鏈上,以此向受害者保證:付款後可獲解密,不必擔憂遭二次勒索。資安專家指出,這類手法對醫療、教育、製造等產業殺傷力尤其強,因為這些產業掌握大量個資與商業機密,但防護資源與資安投資往往不足。這次攻擊的對象集中在臺灣關鍵基礎設施等至少七家機構。單一勒索金額從80萬至250萬美元不等,總額上看3億新臺幣,目前已有兩家企業證實付款。刑事局科技犯罪防制中心主任林建隆針對馬偕醫院被駭案件發布記者會。(圖/刑事局提供)CrazyHunter的技術路線同樣顯示門檻低、效率高。他們約80%攻擊工具取自 GitHub開源軟體平台,並未自製病毒,而是改造現成工具快速組裝成攻擊系統。作案後會留下一封《Decryption Instructions.txt》勒索信,更換桌布,並設置倒數計時器施壓,營造強烈的心理壓力。CrazyHunter並以「誠信勒索」策略,保證付款後可獲解密,不必擔憂遭二次勒索,不僅增加被害者付款意願,也顯示出駭客組織逐步企業化、專業化的趨勢。這種品牌化犯罪模式,可能成為未來國際駭客模仿的新標準。
星巴克也被牽連!供應鏈軟體供應商遭勒索病毒襲擊 英美多家連鎖零售業慘被牽連受害
因供應鏈軟體管理公司Blue Yonder遭受勒索軟體攻擊,結果導致英美多家連鎖零售超市持續面臨經營干擾的情況。Blue Yonder是全球最大的供應鏈軟體提供商之一,總部位於亞利桑那州,於2021年被松下(Panasonic)收購。而這次攻擊事件讓英美兩國許多業者都受到嚴重影響。根據《Tech Crunch》報導指出,Blue Yonder在官方網站的聲明中提到,公司托管的管理服務環境受到中斷,原因確認為勒索軟體攻擊。據了解,整起事件最早是由CNN報導曝光,雖然Blue Yonder一直想要恢復系統正常運作,但節制公司方面表示正努力恢復系統,但截至24日當天,Blue Yonder還是沒有具體的時間表出來。而Blue Yonder有約3,000家企業客戶,目前尚不清楚有多少客戶受到影響。而在英國當地最大的兩間連鎖超市Morrisons和Sainsbury's,後續均證實因Blue Yonder遭受攻擊的關係,自身經營業務也發生問題。Morrisons發言人伍德豪斯(Katherine Woodhouse)表示,Blue Yonder的停機影響新鮮產品的倉儲管理系統,目前公司正在使用備份系統,並努力維持對全國顧客的服務。Sainsbury's官方也表示,雖然有因為Blue Yonder遭受攻擊的事情而受到影響,但後續已在25日開始陸續恢復正常。在美國方面,知名連鎖咖啡星巴克(Starbucks)也受到波及。根據《華爾街日報》的報導,這次勒索軟體攻擊影響星巴克支付咖啡師及管理工作時間表的功能,迫使經理們必須手動計算員工薪資,導致營運上的不便。但並非所有Blue Yonder的客戶都遭遇了停機或受到影響。英國最大的超市連鎖店Tesco以及德國物流巨頭DHL旗下的DHL供應鏈部門均證實,未受到此次勒索攻擊事件的影響。目前尚不清楚是何人對Blue Yonder發動攻擊,Blue Yonder是否有在這次攻擊中發生資料外洩問題也不得而知,而Blue Yonder在24日的聲明中表示,目前公司仍在進行調查和恢復工作。
勒索軟體攻擊年增20% 卡巴斯基「賞金10萬美元」抓疏漏
全球機構遭受資安攻擊事件頻傳,根據全球網路安全業者卡巴斯基(Kaspersky)的各產品檢測統計,勒索軟體在2022年嘗試勒索攻擊的次數達7,420萬次,比起2021年的6,170萬次成長20%。卡巴斯基觀察近期資安趨勢指出,今年以來勒索程式攻擊的次數下降,卻變得更複雜且具針對性,涵蓋多類型的產業機構或組織,包含石化、電信、科技、醫療、教育到服務提供商等工商企業。尤其ICT(資訊與通信科技)供應鏈透過不同的伺服器、應用程式和網路連接到不同的供應商、分銷商、承銷商、客戶或服務提供者,一旦其中之一遭惡意程式攻擊,後果將形成骨牌效應。卡巴斯基為台灣企業和機構,建議一套加強網路安全的步驟,當中包括制定出核心原則和技術標準、建構完善的程式和法規以管理ICT供應鏈基礎設施、規劃整體網路安全戰略、以及公私部門相互合作及網路安全能力的建設,確保整體網路安全水準的提升。為了獲得客戶的信任,卡巴斯基目前為止在全球設立9個「透明中心」,供世界各地的政府機關以及合作夥伴查閱卡巴斯基的軟體開發文件、產品程式、威脅偵測規則資料庫、雲端服務、第三方安全審計結果等。卡巴斯基亞太、日本、中東、土耳其與非洲地區政府事務與公共政策負責人君怡表示,「我們是第一家,也是唯一一家願意開放產品原始程式碼供審查的網安業者。」除了透明中心之外,卡巴斯基同時提供最高10萬美元的賞金,懸賞卡巴斯基產品中的重大疏漏。卡巴斯基也提到,把包括台灣等多處的網路威脅相關資料的處理和存儲遷移到瑞士在 2021年已兌現。目前卡巴斯基設計一套網路能力建設培訓計劃,提升各國網路機構的技術水平,並有許多國家的監管機構已參與這項培訓。
2022資安預測:駭客四重勒索擴大供應鏈攻擊、個資外洩風險攀升
趨勢科技2022年資安年度預測報告,提出三大重點觀察,包含:駭客藉四重勒索擴大獲利、供應鏈成為駭客攻擊的新場域、個資外洩助長詐騙風潮;在全球數位轉型風潮及網路服務型態持續演變牽動之下,資訊安全防護挑戰將日益險峻。趨勢科技臺灣區暨香港區總經理洪偉淦表示:「全球商業環境受各區域經濟版圖競爭持續轉變,駭客的思考模式也如同商人做生意一般,不斷地開拓攻擊版圖以尋找新的獲利機會,台灣位處於全球產業供應鏈的重要中樞,不論是企業或是上下游供應廠商,妥善的資安風險管理政策更將是明年企業經營佈局規劃的重中之重。」趨勢科技指出,以高科技業來說,勒索病毒一直是一項持續性的惡意威脅,勒索病毒攻擊手法已逐漸演化為目標式勒索攻擊。根據趨勢科技統計,台灣企業遭受目標式勒索攻擊的佔比從去年35%成長到今年42%,其中以高科技製造業就是最大宗。趨勢科技預測,「駭客將發展出四重勒索」的攻擊模式,除了透過將企業檔案加密、外洩敏感資料及發動DDos攻擊以中斷企業營運的手段之外,未來還有第四重「供應鏈攻擊」,將使得企業受害層面擴大至供應鏈上下游,駭客將利用供應鏈信任圈發動攻擊,讓企業在面臨勒索事件發生時的處理更艱困。趨勢科技數據統計,2021年台灣偵測到的電子郵件外洩的比例相較2020年上升11%,顯示在疫情的影響之下,個資儼然成為駭客攻擊的目標之一,趨勢分析,疫情造就各式線上活動及網路服務愈趨活躍,民眾對於網路服務的依賴程度也日漸加深,當大量個人敏感資料在網路世界流動,個資外洩的風險也隨著升溫。
上市企業遭勒索事件頻傳 資安專家:防駭如防疫
近來國內上市櫃公司遭駭客針對性勒索攻擊或者竊取機敏資訊事件頻傳,證交所遂明訂上市櫃公司發生重大資安事件時,必須發布即時重大訊息;為此逢甲大學EMBA也找來知名資安公司安碁資訊總經理吳乙南到場演講,希望這些企業中堅幹部能了解資安的重要性。總統蔡英文在就職演講時一再強調「資安即國安」,並將「資安卓越」列為台灣「6大核心戰略產業」,顯現出資訊安全對企業與國安的重要性,而在新冠肺炎導致企業加速數位轉型之際,企業對資安的需求更是逐漸提升。逢甲大學EMBA 1日特別邀請到台灣第一間以資訊安全服務為主的上櫃公司安碁資訊(6690)總經理吳乙南蒞臨演講,與逢甲EMBA的師生們分享「台灣企業對資安風險的認知與應變」,並由台灣思科(CISCO)策略長連顥尹擔任引言人。在演講過程中吳乙南依序介紹在世界各國發生的駭客攻擊案例與手法,直指企業如果不重視資安將影響到公司財損與聲譽,同時強調對企業而言,投入資安不是成本而是投資,因此企業每年皆應編列資安預算,並說明遇到駭客攻擊時企業要如何因應。在演講結束前,吳乙南更提到防駭如同防疫,提及落實資安防護的基本三步驟,包括:定期更換密碼(勤洗手)、勿點選不明郵件(戴口罩)、版本自動更新(量體溫)。
境外駭客布局勒索攻擊 資安站預警:還有10家企業被鎖定
中油、台塑化陸續傳出遭惡意程式攻擊,造成中油捷利卡及「中油PAY」的APP支付在全台加油站都無法使用,調查局資安工作站溯源追查後,發現駭客來自境外,而且早有布局,更研判針對國內10家企業近日再度發動勒索軟體攻擊,調查局除繼續追查駭客身分,也呼籲企業檢視企業網路防護機制,防堵漏洞與破口。資安工作站副主任劉家榮表示,中油、台塑等遭駭的企業,早在數月前就被駭客透過員工個人電腦、網頁及DB伺服器,入侵公司內部網路並開始刺探與潛伏,等偷到特權帳號後侵入網域控制伺服器(AD),再利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程,當企業員工打開電腦會立即套用GPO並執行惡意工作排程,等到核心上班時段,自動執行駭客預埋在內部伺服器裡的勒索軟體並載入記憶體中執行,如果檔案加密成功就會顯示勒索訊息及聯絡電子信箱;這些電子信箱都是來自境外,調查局正透過國際合作管道協查境外的電子信箱及中繼站。劉家榮指出,駭客犯案時還留有後門程式連往美國境內,向華裔人士經營的「雲端主機(VPS)」服務提供商租用的雲端主機作為駭客中繼站,並使用商用滲透工具Cobaltstrike作為遠端存取控制之用,從調查局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊,研判犯罪駭客組織為Winnti Group或與該組織有密切關聯的駭客。劉家榮強調,根據專案人員掌握的情資,遭駭客鎖定數月的國內10家企業,近日可能再受攻擊,企業應該檢視企業網路防護機制,如對外網路服務是否存在漏洞或破口等,關閉遠端桌面協定,還要觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量。另外,注意具有軟體派送功能的系統,注意有沒有群組原則遭異動、工作排程異常遭新增的現象,最重要的是更新防毒軟體病毒碼,並建立離線保存的備份機制。