民視新聞/蘇恩民報導
美國《財星》公布去年世界500強營收排名第6的中國石油(CNCP),驚傳美國公司遭駭客入侵,昨天透過暗網拍賣竊得機密檔案,起標價20枚比特幣(逾台幣6000萬元)。由於中國石油秘魯分公司去年才被同一駭客集團竊取371GB資料並勒索5 BTC,如今美國公司又被駭,且贖金直接翻4倍,資安專家研判,具備高營運可用性需求的基礎設施或能源產業,恐成駭客攻擊、勒索新目標。
勒索軟體Rhysida昨天在暗網PO出拍賣告示,標的為中國石油美國公司內部檔案,同時揭露多份該公司機密文件、高層主管護照內頁等內部資料,以底價20 BTC開放競標,並強調「限時7天,抓住機會競標獨特且令人印象深刻的數據。打開你的錢包,準備好購買獨家資料吧!我們只賣給一人,絕不轉售,你將是唯一的所有者!」引發資安界高度關注。
2023年5月Rhysida首度現身,隨後該勒索軟體集團迅速竄起,迄今已攻擊近 200個目標,受害者涵蓋美國、中東、拉丁美洲與歐洲各國政府單位、醫療機構、關鍵基礎建設、科技製造與教育產業。
其中知名案例包括:智利軍方系統遭完全入侵、大英圖書館British Library外洩逾600GB檔案、Insomniac Games遊戲開發機密遭竊(含《漫威 Wolverine》)、美國Prospect Medical 17家醫院與166間診所營運被癱瘓、俄亥俄州哥倫布市政府6.5TB 資料外洩等,另外,去年1月芝加哥Lurie 兒童醫院也被該集團勒索並支付340萬美金。
Rhysida 採用「勒索即服務(RaaS)」商業模式,將自家勒索工具出租或出售給其他攻擊者,擴大攻擊規模。該集團通常透過已取得的合法帳號與 VPN 存取權限進入企業內部,憑證來源多與暗網交易的「初始存取仲介(IAB)」有關。
入侵後,攻擊者會使用網路掃描工具(如 Advanced IP Scanner)與合法遠端控制程式(如 PsExec),進行橫向移動並部署勒索程式。資料遭加密前,機敏資訊會先透過 PowerShell 腳本或 MegaSync 雲端同步工具進行外洩,對目標構成典型的雙重勒索威脅。
而為提升隱蔽性,Rhysida攻擊時也會部署 PortStarter 與 SystemBC 等惡意模組,用於隱藏通訊,同時強化資料竊取。
另資安界意外的是,中國石油秘魯分公司去年才遭Rhysida集團攻擊勒索,如今美國公司也被駭,顯然Rhysida得逞後未停止行動,而是持續鎖定中國石油集團各地分公司,可能透過供應鏈或資料洩漏建立更多入侵路徑,而中國石油也未記取教訓,建立更完善的資安防護機制。
竣盟科技創辦人鄭加海指出,CNCP連續2年傳出秘魯、美國公司遭Rhysida勒索軟體攻擊,這不是巧合,而是針對性極高的行動。Rhysida 常透過暗網購得合法帳密,利用 VPN 滲透內網,結合 PsExec、PowerShell 等合法工具進行橫向移動與資料竊取,最後施以雙重勒索,換句話說,他們不是「駭入」系統,而是「合法走進」來。
鄭加海提醒各大企業,面對這類針對性攻擊,應優先檢視與收斂帳號權限與 VPN 存取規則,不要讓過期或閒置帳號成為入侵捷徑,並建置「零信任機制」來強化身份驗證與異常行為偵測(UEBA),不僅要知道誰登入,更要知道他「是不是在做他該做的事」,同時導入欺敵防禦技術(Deception Technology),在關鍵系統周圍布建偽裝目標,讓駭客自投羅網,也要建立橫跨總部與分支據點的聯防機制,避免相同攻擊劇本在不同地區重演。
