2020年5月6日
警訊: COLDLOCK勒索軟體鎖定攻擊台灣企業

威脅資訊

趨勢科技近期觀察發現,一隻名為 COLDLOCK 的勒索軟體(Ransomware)正鎖定台灣的企業進行攻擊,趨勢科技已收到多個實際受駭案例。此攻擊將有可能對企業內資訊系統與營運造成嚴重影響。在此特別提醒用戶多加留意,並且建議及早採取適當應變措施。

詳情

 

這類型攻擊事件是駭客從外部入侵,取得內網具管理者權限的帳號密碼等機敏資訊,並進行內網擴散活動,將重要伺服器上的檔案加密,攻擊結束後通常會刪除系統上的事件記錄(Event Log)和其他相關資訊,使得資安部門無法有效調查攻擊事件。

影響

  • 重要資料遭到加密。
  • 財物與商譽損失
  • 因檔案被加密導致重要系統無法正常運作

建議

趨勢科技建議可採取以下防範措施 :

  • 趨勢科技產品病毒碼版本15.849.00已可偵測下列威脅,請盡速更新。

Sha1

Threat Name

9d6feb6e246557f57d17b8df2b6d07194ad66f66

Ransom.MSIL.COLDLOCK.YPAE-A

75e49120a0238749827196cebb7559a37a2422f8

Ransom.PS1.COLDLOCK.YPAE-A

9e3a1f4cdfb3aeafc66d289b02d8b0dd23328bfc

Ransom.Win32.COLDLOCK.YPAE-A.note

  • 若有使用微軟網域服務,請注意網域控制站(DC)是否出現異常排程、異常帳號
  • 檢查是否有異常網域群組原則(GPO)或異常檔案的建立、派送
  • 監控網域與本機管理群組使用者帳號的新增記錄
  • 檢視重要伺服器或電腦上是否出現異常的工作排程
  • 使用多因子驗證登入,降低因使用者遭網路釣魚攻擊導致帳密洩漏、密碼暴力破解,而被駭客登入的風險
  • 確認所有軟體與作業系統完成安全性更新,尤其是提供對外服務之伺服器。
  • 密碼設定符合安全性要求,包含長度、複雜度等。
  • 記錄遠端桌面服務登入記錄,建議重要主機(如ERP)登入記錄應儲存至遠端日誌收集系統,以後稽核追蹤。
  • 部署多層次資安防護機制解決方案,除了端點防護解決方案以外,進階沙箱分析隔離不明檔案,應用程式控管與行為監控則可防止可疑檔案執行,並避免系統遭到未經授權的變更
  • 利用DDI以及Deep Security過濾網路中出現可疑的內網擴散等攻擊活動
  • 在Apex One中啟用勒索病毒防護功能

https://success.trendmicro.com/tw/solution/1122808

  • 勒索病毒攻擊手法日新月異防不勝防,務必以三二一原則妥善備份重要檔案(三份備份,分別存放在兩種不同類型的裝置,一份放在異地或安全地點);

[趨勢科技技術支援聯絡方式]