按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

全球逾千家企業遭REvil勒索軟體攻擊,建議落實資安防護

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-07-06
  • 點閱次數:2725
全球逾千家企業遭REvil勒索軟體攻擊,建議落實資安防護 TWCERT/CC

REvil勒索軟體攻擊對象涵蓋全球各大領域產業,影響逾千家企業,台灣多家大型企業也曾受駭,建議企業落實資安防護措施,提升員工資安意識,以免遭勒索軟體攻擊而造成損失。

近年來俄羅斯駭客組織REvil逐漸壯大,在勒索軟體的排行中名列前茅,被列為最危險的勒索軟體之一,該駭客組織自2019年起,針對全球從製造業、金融業到電信業等20個領域進行攻擊。

REvil專門鎖定全球各地企業進行勒索攻擊,台灣多家企業也深受其害,光是2021年國內就已有如電腦大廠、電子代工製造大廠以及半導體封測大廠旗下孫公司等,數家大型企業接連遭遇REvil勒索軟體攻擊,並被駭客要求支付高額贖金。

REvil甚至已開始針對Linux平台。今年五月,資安公司Advanced Intelligence的研究人員表示,REvil推出了Linux加密工具,在NAS設備上也能運行。六月,該公司研究人員發現另一Linux版本的REvil勒索軟體,鎖定VMware ESXi伺服器及釋出用來加密NAS裝置的Linux版的加密工具。

TWCERT/CC近日接獲國際情資,2021年7月2日美國資訊科技管理業者Kaseya遭到REvil發動勒索軟體攻擊,導致全球各地上千家企業受害。迄今已有十一國傳出災情,堪稱受害企業最多的單一一起勒索軟體攻擊事件,也是史上規模最大與最嚴重的供應鏈攻擊。駭客的目標為託管服務提供商(MSP),這些公司主要客群為中小型企業,透過襲擊這些MSP業者便能進一步入侵企業客戶的內網。

根據Kaseya與網路安全研究人員,犯案的是一個月前成功勒索大型肉品加工商JBS價值一千一百萬美元比特幣的俄羅斯駭客組織REvil。REvil於本事件利用Kaseya的虛擬系統管理(VSA)軟體之0-day漏洞,並藉由此管道透過託管服務提供商散播勒索軟體(圖1)。美國國土安全部的網路安全與基礎建設安全局(CISA)與Kaseya皆聲明建議Kaseya使用者立即關閉其VSA伺服器。

Kaseya產業鏈攻擊示意圖

圖1、 Kaseya產業鏈攻擊示意圖

  • 建議採取資安強化措施

1. 立即關閉Kaseya VSA伺服器。Kaseya預計於7/5(美國時間)釋出漏洞修補更新檔案(官方更新釋出連結) ,屆時建議立即進行安全性更新。

2. 建議透過入侵偵測工具(VSA Detection Tools)掃描系統設備是否已存在入侵跡象。

3. 駭客的勒索訊息含有惡意連結,切勿開啟任何連結。

4. 定期進行檔案備份,並遵守備份321原則:

1) 資料至少備份3份
2) 使用 2 種以上不同的備份媒介
3) 其中 1 份備份要存放異地

5. 不論是個人或企業,建議都應做好事前預防措施以及被感染後的應變措施,可參考勒索軟體防護指南

6. 若企業不幸遭遇駭侵事件,可尋求資安專業單位協助處理,並即時向相關單位進行資安通報,TWCERT/CC亦為企業通報及協助之單位。

回頁首