《日經》:北韓駭客盜竊「加密貨幣」多國受害 日本最慘佔全球3成
據《日經新聞》15日援引英國區塊鏈分析提供商Elliptic的一項研究指出,自2017年以來,與北韓有關聯的駭客組織從日本竊取了價值7.21億美元(約合新台幣225億元)的加密貨幣資產,且這一數字相當於全球遭竊總額的30%。《日本經濟新聞》與Elliptic公司聯合分析得知,北韓的駭客組織為了賺取外匯,正在覬覦多國的加密貨幣資產,其中光是在2017年至2022年就從企業竊取了總計23億美元(約合新台幣707億元)的加密貨幣,其中日本佔比最大,其次是越南(5.4 億美元)、美國(4.97 億美元)和中國香港(2.81 億美元)。在該報告發佈之前,七大工業國組織(Group of Seven,G7)財長和央行行長13日在一份聲明中指出,他們支持採取行動,應對非法活動日益高漲的威脅,包括盜竊加密資產。Elliptic擁有追蹤與鎖定加密貨幣交易的區塊鏈上的匯款技術。由日經新聞委託、Elliptic將加密貨幣流向北韓駭客集團Lazarus Group所用的電子錢包的企業做據點區域分類,這是首次將北韓駭客攻擊後的受害情形按國家地區分類並公布。北韓的網路攻擊主要有駭客攻擊(hacking)及勒索軟體(ransomware)2種。這次調查的重點主要是從加密貨幣交換所竊取的駭客攻擊,而勒索軟體拿到贖金的機率較低,因此北韓專注於目標金額較為龐大攻擊交易所。《日經新聞》的報導也指出,根據日本貿易振興機構的資料,日本被盜竊的7.21 億美元是北韓2021年出口額的8.8倍。報導聲稱,北韓之所以加強駭客攻擊,主要是因為該國因核擴散遭到國際制裁,很難賺取外匯,於是便將駭客攻擊列為「國家戰略」。
駭客不手軟1/2021年贖金增5倍 資源庫斥2,900萬懸賞首腦
受到新冠肺炎疫情影響,幾乎全球民眾的工作型態、生活習慣都被迫改變,各大企業開始遠端工作,也讓勒索軟體有機可趁,一直到2022年,相關資安攻擊持續發生,除了鴻海墨西哥廠傳出被攻擊外,國內IC設計大廠鈺創也在受害者名單內。根據Sophos發布的《2022年勒索軟體現況》報告指出,在2021年有66%的受訪組織遭到勒索軟體攻擊,高於2020年的37%,且支付的贖金增加500%,其中還有11%的組織承認支付100萬美元或以上的贖金給駭客。英國資安業者NCC Group日前公布的勒索軟體威脅報告顯示,曾經相當猖獗的LockBit,在2021年中以LockBit 2.0重新出現,可以在3小時內加密25台伺服器及225台電腦,光是在2022年4月全球就有103個企業受害。其中鴻海集團旗下位於墨西哥Tijuana的工廠,也在5月底遭LockBit 2.0入侵,鴻海6月3日出面證實,表示對集團營運影響不大,該廠是鴻海在2009年自Sony手中取得,原先是生產液晶電視的工廠,目前主要用於零件集散、貿易。不過在6月28日傳出LockBit已經進化到3.0,全球最大惡意程式原始碼、樣本及研究報告資源庫的vx-underground,特別發出抓漏專案,鼓勵駭客、資安人員找尋LockBit 3.0的官網、工具以及安全漏洞,如果能辨識出該組織首腦身份,更可以獲得100萬美元(約新台幣2,900萬元)獎勵。除了鴻海墨西哥提華納廠遭攻擊外,受惠於遠距教學、在家辦公議題以及歐盟統一USB Type-C傳輸規格的IC設計廠鈺創(5351),在疫情期間股價屢創新高,也傳出遭到Cuba ransomware攻擊,駭客組織在6月24日釋出其內部檔案。
駭客不手軟2/古巴勒索軟體來自俄國 鈺創被列受害名單
名為Cuba ransomware的勒索軟體在2022年Q1重新崛起,FBI指出,已經有49個關鍵基礎設施遭到攻擊,該組織已經獲取超過4,390萬美元(約新台幣13億元)贖金,該組織也在暗網(Dark Web)PO出台灣IC設計廠鈺創(5351)的訊息,表示已經取得其財務資料、員工薪資以及部份源代碼。在Cuba ransomware的暗網主頁面中,已經有多達55間企業遭到攻擊,並取得內部資料,多數受害企業都位在北美,其中也包括現代汽車集團的能源技術公司,最早在2020年2月被發現,隨後開始沈寂,一直到2021年11月再次浮出水面,並在2022年3至4月開始變異。鈺創內部檔案被駭客PO在暗網,供外界下載。(圖/翻攝自暗網)雖然Cuba ransomware名為「古巴」,但美國聯邦調查局(FBI)認為,該組織並非位在古巴,研判總部設在俄羅斯,主要是在內部資訊及談判時,常無意間使用的俄文,目前美國境內已經有49個企業、政府單位、醫院受害。而最新的受害企業,赫見台灣IC設計廠鈺創,頁面顯示,鈺創內部資料在6月1日遭竊取,而駭客集團在6月24日將其上傳供各界瀏覽。駭客釋出的資料夾包括MIS Dept、Finance、Module PP、DRAM Engineering Report等檔案夾,還有部份財務資料、客戶出貨資訊;至於晶片設計圖等重要資訊,已經被Cuba ransomware再次加密無法讀取。對於遭勒索軟體攻擊的情形,鈺創三緘其口,僅表示「不予回應」。資安業者趨勢科技解析Cuba ransomware後發現,該勒索軟體會在執行前終止電腦內的防衛程式,以免加密過程遭到中止,但目前還沒有解密器能夠救回檔案,呼籲企業定期檔案備份,並實施網路分段以應對相關勒索軟體攻擊。
遭駭不重訊1/不甩證交所 上市公司旗下企業遭勒索卻裝死
由於愈來愈多上市公司遭駭客勒索,證交所規定自4月27日起,上市公司若發現重大資通安全事件,必須及時發布重訊,以維護投資人權益;近來受惠於挖礦熱潮的威剛(3260),成了首間因重大資安事件而發布重訊的公司。然而,並非每間公司都會遵守規定,本刊調查,新北市一間專營電子代工的上市公司旗下事業,比威剛早3天受到勒索軟體攻擊,且被要求支付500萬美元贖金,該上市公司卻未發布重訊,簡直就是漠視小股東的權益。過去一年來,除了新冠肺炎病毒,台灣民眾另一個熟悉的病毒就是「Ransomware」(勒索軟體)。駭客從早期針對個人用戶進行隨機勒索,直到近年有駭客集團入侵企業,展開目標式勒索,不管如何,最終目的都是為了錢。隨著勒索軟體愈發盛行,不少資安公司推出防勒索的軟硬體,希望受企業、個人用戶青睞。圖為今年5月4日台灣資安大會。(圖/報系資料庫)有鑑於愈來愈多上市公司被駭客勒索,證交所遂在四月二十七日公布,如果企業遭受重大資安事件,必須發布重大訊息(重訊),至於是否需要發布重訊的關鍵,得看受害公司的規模大小而定。證交所指出,之所以頒布此規定,主要是駭客攻擊可能會對公司營運造成重大損害,進而影響投資人的權益。「如果上市公司遇到資安事件而未發布重訊,我們也會以規模去檢視該資安事件對公司的影響程度,判斷是否真的無需發布重訊。」一名證交所經理透露。就在證交所發布此規定後不到一個月,近期受惠於「奇亞幣」(Chia)挖礦及遠端需求的威剛,成了首間「受駭」公司。威剛指出,五月二十三日偵測到部分系統遭病毒攻擊,資安團隊第一時間就啟動防禦機制;雖然略為影響五月二十四日的出貨,但受害伺服器已經陸續恢復,也未接獲駭客的勒索訊息。由於近來企業頻傳遭勒索事件,證交所明定,若上市公司遭遇重大資安事件,就必須發布重訊,董事長許璋瑤更致力於強化資安防護。(圖/翻攝自證交所網站)
中油、台塑、科技大廠連遭駭客入侵 警、調偵辦是否為同1勒索集團
中油、台塑及知名科技大廠「力成」,近日接連傳出遭駭客入侵,內部系統遭惡意程式攻擊。目前中油已證實昨(4日)向調查局報案,而今天刑事局也派員向另遭攻擊的台塑了解案情,另科技大廠「力成」也傳遭駭。警、調目前正在釐清攻擊這些公司的駭客是否為同1集團,及是否如外傳目的為「勒索」。據悉,目前從已知資訊研判,該駭客集團應是來自境外,利用企業網路的資安漏洞,入侵他們的資料庫後,於重要文件檔案內植入勒索病(Ransomware)。而外傳駭客可能是對岸網軍,熟悉資安犯罪的警方透露,若真是對岸所為,理論上不會針對民間、民生類企業,比較像是國際非法駭客組織常見的手法,下一步目的極可能在勒索金錢。刑事局另也表示,雖台塑公司未報案,但該局已主動派員前往了解,盼了解駭客目的是否為勒索金錢,因以往國內就有不少企業遭國際駭客勒索,甚至要求以比特幣等虛擬貨幣付贖金,企圖躲避追查。