5 月還沒過半,台灣企業接連遭到網路攻擊,先是中油再來是台塑兩大石化公司中鏢,接著半導體封測大廠力成也遇到攻擊事件。這幾次攻擊,還沒有證據顯示是否為同一來源、形式,但恰巧在近期也有一款針對台灣企業攻擊的勒索病毒突然出現,讓人引發聯想。
這款針對台灣企業的新勒索病毒,叫做 ColdLock,攻擊行動最初就在 5 月初出現,目前為止已經感染了好幾個組織,似乎會加密受害企業的資料庫和郵件伺服器。
未知抵達媒介
官方表示尚未得知病毒一開始進入潛在受害者網路的抵達媒介。但推測認為攻擊者用某種方法,取得目標 Active Directory 伺服器權限,透過設定群組原則,讓勒索病毒被下載,並且在網域內的電腦執行。
另外,病毒只會在指定日期的下午 12:10 或之後執行,時間還沒到的話就自動休眠 15 秒,像定時炸彈般的設計。
加密之前的預備動作
定時炸彈設定的時間一到,ColdLock 會先中止特定服務,例如資料庫軟體、微軟郵件系統 Exchange,和收信軟體 Outlook 等,防止因檔案拒絕存舉可能導致加密失敗的狀況。
更恐怖的是,如果中毒的電腦是 Window 10,ColdLock 還會自動停用內建防毒軟體(Microsoft Defender),讓電腦無法偵測和即時回傳遭到攻擊的資訊給微軟⋯⋯
將檔案通通「鎖起來」
把服務程式和防毒軟體都關掉之後,接下來病毒會用寫死的 RSA 公鑰進行加密,被鎖上的檔案,會加上「.locked」這個副檔名。
等它一切大功告成之後,就會看到下圖這個畫面。
桌布也會「順便」更新
目前尚未確定 ColdLock 是否和月初針對中油、台塑接力攻擊有關係,但無論是石化能源產業,或是半導體這類的高科技製造業,一旦營運出現問題,影響台灣層面甚鉅。
行政院資安處過去曾經做過統計,台灣公部門每個月遭受境外網路攻擊的次數,平均達 3,000 萬次,和歐洲國家一個月可能只有幾萬次相比,台灣受攻擊的頻率非常高。
接下來接近 5 月 20 總統就職前夕敏感時機,不排除接下來攻擊行動會更加嚴峻,我們的資安單位該如何反應,有待考驗。
(首圖來源:Unsplash)
