資料來源:TANet CERT台灣學術網路危機處理中心
https://www.twcert.org.tw/tw/cp-104-5247-68cf2-1.html
國內電腦設備品牌大廠於一周內,連續遭到同一駭侵團體兩次發動駭侵攻擊;該公司已緊急下線存有漏洞的伺服器,但駭侵者說,該公司在其他國家的據點,仍有漏洞可資發動攻擊。
發動最近這兩波攻擊的駭侵團體自稱為「Desorden」。Desorden 在成功入侵該公司在印度據點的售後服務伺服器後,曾經發信給媒體記者高調宣傳此事;不到一星期後,資安媒體 BleepingComputer 再次收到 Desorden 來信,指出該團體再次成功駭入該公司所屬的伺服器,這次的受害者是在台灣的總部電腦設備。
據 BleepiongComputer 的報導指出,Desorden 駭侵團體自稱,於 10 月 15 日時自該公司台灣的伺服器中竊得員工資料與產品相關資訊;該團體還展示了內部入口網站的圖片,以及含有員工登入資訊的 CSV 檔案。
Desorden 在首次駭入印度據點時,從該公司的伺服器中竊得超過 60GB 的資料,資料內容包括各種客戶、企業內部資料與財務資料、供應商與零售商登入該公司系統用的登入資訊等等。
在印度的駭侵事件發生後,該公司對外表示已立即開始進行調查,並對公司所屬系統進行資安掃瞄;但一周後台灣總部的系統再次遭同一駭侵團體駭入。Desorden 駭侵團體宣稱,不會對第二次的駭侵攻擊要求額外贖金;但他們指出在馬來西亞和印尼據點的伺服器,仍舊存有漏洞,可以用來發動攻擊。
- 建議採取資安強化措施
- 使用防毒軟體,並及時更新系統、軟體和應用程序:攻擊者通常利用未修補的漏洞來訪問未經授權的系統和網路,以執行後續惡意活動。
- 若不幸遭受駭侵攻擊,建議立即斷開受感染設備與所有網路的連接,無論是有線、無線還是基於行動網路。在非常嚴重的情況下,可考慮關閉 Wi-Fi、禁用任何核心網路連接及交換機,以及斷開internet連接。
- 定期將資料進行備份,並依照3-2-1備份原則:3份備份、2種儲存媒體、1個不同的存放地點。利用備份進行還原之前,需確認該備份沒有含惡意軟體,若已經確認備份和連接它的設備是乾淨的,則恢復工作應該只從備份進行。
- 可參考antiransom.tw勒索軟體防護專區的指南與檢核表,以預防駭侵攻擊;遭受攻擊後,可向調查局或刑事局報案尋求協助,並通報TWCERT/CC。