台湾半导体大厂环球晶今年6月12日遭黑客入侵,虽然公司立刻启动资安防御,但黑客组织7月22日在暗网中公布,将于6天后公开环球晶被窃数据,这些数据容量大约1TB,内容涵括了财务、商业机密、人资、研发与工程师、员工以及客户等6大类数据。
据了解,此次攻击环球晶的黑客组织是Storm-1811,这个组织使用了勒索软件Black Basta,将环球晶内部的数据加密上锁。国际资安专家也都陆续注意到黑客组织在暗网公布此事件,从黑客公布的数据细节来看,黑客此次是从环球晶的美国子公司骇进,甚至影响环球晶美国厂产线营运。
根据环球晶6月12日对外公布的重大消息,「113/06/12晚间本公司部分资讯系统遭受黑客攻击,资安单位随即启动资安防御及复原机制,并委请外部资安公司技术专家共同处理。目前正积极会同技术专家协助调查和复原工作,对公司营运影响尚在厘清中,后续视情况更新消息。可能获得保险理赔的金额尚在估算中,本公司将持续提升网络与资讯基础架构之安全管控以确保资讯安全。」
环球晶此次遭骇后,据了解,大客户台积电第一时间就向环球晶了解情况,并要求环球晶未来要避免再度发生资安事件。
此外,因为环球晶在营运成长过程中,陆续收购了多家公司,由于集团内部每个公司都是独立营运,大多数营运系统也未集成,这也使得集团整体的资讯管理出现落差。
今年以来,国际黑客组织频频攻击台湾。不过,台湾是首度有企业被勒索软件Black Basta攻击。Black Basta的手法就是对企业数据上锁,让企业无法使用系统。
Black Basta首度出现于2022年4月出现,出现后的7个月内,出现近100名受害者,截至2024年5月,因Black Basta勒索软件而受害的全球组织已高达500个,遍布制造、运输、建筑、电信、汽车业、医疗保健产业,著名的受害者包括可口可乐、加拿大黄页、ABB等。
竣盟科技创办人郑加海指出,美国网络安全暨基础设施安全局(CISA)与联邦调查局(FBI)在今年5月份发布告警,指出Black Basta勒索软件的影响范围极为广泛,Black Basta会利用RClone工具来窃取数据,并借助PowerShell脚本和Backstab技术逃避侦测,其加密方法包括ChaCha20和RSA-4096,这些高强度加密技术使得数据一旦被加密,极难破解。
针对此种威胁,郑加海建议企业应采取多重备份、定时还原演练、防火墙、代理服务器、闸道过滤、电子邮件防护和定期安全更新等综合防御措施,企业也必须通过定期的教育训练提升员工的资安意识,让员工能够识别钓鱼攻击等常见威胁,从而在第一时间采取应对措施,减少潜在损失。
