中國時報 中國時報
中時地方版 中時地方版
工商時報 工商時報
旺報 旺報
周刊王
348報導:柳名耕 攝影:李宗明、王永泰 圖片:中國時

仁寶研華 遭國際駭客勒索10億內幕

寧付贖金漠視資安

image
勒索軟體Conti鎖住研華的檔案後,發出警告「如果不付贖金,我們就會將下載的檔案公布在網路上。」(讀者提供)
資安專家指出,只要作業系統定期更新修補漏洞,勒索軟體入侵的難度就會大增。
據悉,仁寶11月9日遭駭,內部員工開啟電腦後,出現藍屏並警告不得關閉電腦、刪除檔案(上圖);資安人員一早都到董事長許勝雄的辦公室開會,討論解決辦法。左圖為許勝雄出席今年中華民國三三企業交流會。
研華董事長劉克振近年持續發展工業物聯網,但公司伺服器在11月19日遭駭客入侵。
資安專家認為,資安部門雖不能創造利潤,卻是企業不可或缺的防火牆。圖為微軟今年的資安會議。
由於勒索軟體猖獗,相關防護成為今年台灣資安大會的重要議題。
DoppelPaymer提供給仁寶的比特幣錢包地址,曾被存入28枚比特幣。(讀者提供)
研華表示,駭客竊取的檔案重要性不高,也沒有機密性。 研華陽光大樓
三大勒索軟體亂全球Maze 原名「Cha Cha」,2019年5月被資安專家發現;已知受害者有資訊技術服務公司「高知特」(Cognizant)及相機大廠「佳能」(Canon)的雲端資料庫等。REvil 一種文件攔截病毒,入侵電腦後會鎖定文件;受害者有美國歌手瑪丹娜等多位明星及知名律師。Ryuk 目前最活躍的勒索軟體,利用遠端桌面等方式取得系統授權,進而鎖定文件。已知受害者有美國知名機電建設服務商「EMCOR」及多間中大型醫院。
受惠疫情帶來的遠距商機,筆電大賣,仁寶今年前3季繳出優異的成績單,同時持續發展智慧穿戴裝置(如圖)。
研華除了生產工業電腦與伺服器,近年來頻頻發展智慧機器人。
台灣駭客協會理事長蔡松廷建議,企業應該要有「明天就被勒索」的事前準備。
加密貨幣淪洗錢管道為何駭客要求企業支付贖金的方式,不是銀行轉帳或刷卡,而是使用比特幣等加密貨幣?資安公司「如梭世代」技術長何宜霖解釋,加密貨幣除了轉帳手續費較低,由於使用區塊鏈技術,僅需透過私鑰和公鑰發送,儘管所有用戶都能讀取交易總帳(包括交易金額與錢包地址),但用戶可匿名,連政府機關也難以追查其真實身分,因此犯罪者偏好以此交易。對此,各國已開始制定加密貨幣法規,不少犯罪者轉而透過多個私人虛擬錢包進行資金分配,再以場外交易換取資金。

根據國際資安公司「BlackFog」最新報告,截至今年11月,全球政府及企業遭駭客組織攻擊勒索的案件,高達228件,其中,台灣光是近3個月,就有逾10家上市櫃企業遭駭,最新的受害者是筆電大廠「仁寶電腦」(2324)及工業電腦大廠「研華科技」(2395),兩大廠被勒索的贖金,一共高達新台幣10億元!

全球新冠疫情死亡人數飆破一百五十萬,愈來愈多的企業開啟在家工作模式,然而,住家資安環境不比公司內部,部分民眾非但不是使用正版作業系統,還透過「虛擬私人網路」(VPN,Virtual Private Network)連回公司網路,等於提供駭客可乘之機。 本刊調查,今年十月中旬以來,台灣逾十間上市公司遭駭客使用勒索軟體攻擊,並以每周二至三間的數量增加;受害公司的股價落在七十元至三百五十元區間,行業別包括建築、生技、傳產與汽車零件等。其中部分公司已支付新台幣二百萬元至五百萬元的贖金,換取遭駭資料的解密金鑰。最新受災戶則是筆電大廠仁寶電腦(仁寶)及工業電腦市占龍頭研華科技(研華)。

藍屏警告 禁止關閉電腦

仁寶為全球第二大筆電代工廠,客戶包括了Apple及Google、HP、DELL、Lenovo等品牌。受惠疫情帶來的遠距商機,仁寶前三季的每股稅後盈餘多達一˙一元,今年的筆電出貨量可望超越去年的四千三百九十萬台。 就在營收大好之際,十一月九日,仁寶竟傳出遭勒索程式入侵!「內部員工開啟電腦後,出現藍屏畫面顯示『Your network was hacked.』(你的網路已經被駭),並警告禁止關閉電腦以及刪除任何檔案。」一名知情人士透露,仁寶IT(資訊科技)部門為此十萬火急發出通知:「伺服器遭勒索病毒攻擊,員工不要連回公司內網,即使在公司使用電腦也不要連上網路。」 該人士表示,「攻擊仁寶的駭客組職,正是近幾個月相當猖獗的『DoppelPaymer』(外界以該組織使用的勒索軟體DoppelPaymer稱之),對方要求在七十二小時內支付一千枚比特幣,若不趕緊支付,贖金就會提升至一千一百枚比特幣(約新台幣六億元)。」

留下後門 公布部分檔案

資安專家阿哲(化名)證實仁寶遭駭客攻擊,「事發後,仁寶以備份系統還原,卻查不出DoppelPaymer最初的入侵手法及潛伏時間。」「聽說DoppelPaymer所提供的錢包已入帳二十八枚比特幣(約新台幣一千四百萬元),但該筆款項來源相當神祕。」 阿哲等資安界人士多認為,仁寶遭駭的「損害相當嚴重」,不過,仁寶發言人呂清雄表示:「公司確實遭駭客攻擊,但並非遭勒索軟體入侵;影響範圍僅限辦公自動化系統(OA),對產能並無影響。」對於事後是否有強化資安方案,仁寶則無回應。 根據美國的資安研究團隊「CrowdStrike」調查,DoppelPaymer使用的同名勒索軟體,是去年四處作亂的「BitPaymer」的變種。DoppelPaymer先是勒索墨西哥及智利等石油公司,接著攻擊美國精密零件製造商「Visser Precision」;後者因拒付贖金慘遭「撕票」,導致其兩大客戶電動車大廠「特斯拉」及客機製造商「波音」的部分機密文件遭曝光。此外,美國賓州德拉瓦郡政府也曾遭DoppelPaymer攻擊,最後支付二十八枚比特幣(約新台幣一千四百萬元)贖金解圍。 就在「仁寶被駭」鬧得沸沸揚揚之際,十一月二十三日,專門生產嵌入式電腦與伺服器的研華也捲入駭客之亂。對此,研華表示:「十一月十九日,部分伺服器確實受到駭客攻擊,但公司內部即時啟動資安防護機制。」 阿哲透露,勒索研華的駭客組織是「Conti」,「Conti攻擊當天,就要求研華支付七百五十枚比特幣(約新台幣三億七千萬元),且次日須回覆,否則將會公布其所綁架的研華檔案,還聲稱在研華內部留下數個後門(進入內網的漏洞),但研華不予理會。」 據悉,資安界發現Conti在暗網(只能透過特殊軟體與特別授權,或對電腦進行特殊設定才能存取內容的網站 )架設的站點,十一月二十六日公布已從研華伺服器取得二%的檔案,容量達三˙○三GB。對此,研華回應:「駭客僅攻擊少部分伺服器,取得的檔案價值性及機密性都不高。」 阿哲研判,「Conti應是對研華進行『APT攻擊』(進階持續性滲透攻擊),也就是早已鎖定研華,並透過各種方式入侵。Conti知道許多企業都有備援系統,因此除了以竊得的檔案交換贖金,還會以公布檔案威脅企業付錢。」

入侵內網 潛伏達三個月

「只是,國外駭客組織幾乎都看不懂中文繁體字,根本不清楚哪些檔案屬於機密,因此公布檔案的勒索法,對華人企業威脅不大。」儘管如此,阿哲指出,一間科技公司如果要讓資安到位,預算至少需占資本支出的八%,但台灣企業普遍只有不到一%的預算,甚至認為IT部門等於資安團隊,一旦被勒索,企業會評估,若資料復原成本加上被公布的損失小於贖金,就不會理會駭客勒索,反之則乖乖付錢了事,就是不願意花錢落實資安系統,簡直本末倒置。 至於為何近幾個月有這麼多台灣企業受害?阿哲分析,駭客組織以勒索軟體入侵企業內網後,大多有三個月以上潛伏期,以漸進、不易被察覺的方式取得企業內網權限,進而陸續複製檔案。回顧三個月前,當時世界各地疫情嚴峻,台灣相對安全,經濟狀況也較穩定,很可能因此被駭客組織鎖定,並在近期比特幣幣值逼近二萬美元(約新台幣六十萬元)高點時爆發。 據網路安全風險投資公司「Cybersecurity Ventures」二○一七年的報告指出,「二○一七年全球企業被勒索軟體攻擊的成本為五十億美元,二○一八年成長到八十億美元,到二○二一年將暴增至二百億美元;每年會有二百八十六萬餘次此類事件。」 換句話說,明年還會有更多勒索軟體攻擊事件。台灣駭客協會理事長、「TeamT5 杜浦數位安全有限公司」創辦人兼執行長蔡松廷提醒:「企業要有『如果明天就會被勒索,今天該做什麼準備』的思考,儘管資安部門不能創造利潤,但只要能擋住一次勒索軟體攻擊,就有存在的價值。」