警訊: COLDLOCK勒索軟體鎖定攻擊台灣企業

威脅資訊 
趨勢科技近期觀察發現，一隻名為 COLDLOCK 的勒索軟體(Ransomware)正鎖定台灣的企業進行攻擊，趨勢科技已收到多個實際受駭案例。此攻擊將有可能對企業內資訊系統與營運造成嚴重影響。在此特別提醒用戶多加留意，並且建議及早採取適當應變措施。

詳情
這類型攻擊事件是駭客從外部入侵，取得內網具管理者權限的帳號密碼等機敏資訊，並進行內網擴散活動，將重要伺服器上的檔案加密，攻擊結束後通常會刪除系統上的事件記錄（Event Log）和其他相關資訊，使得資安部門無法有效調查攻擊事件。

影響

• 重要資料遭到加密。 
• 財物與商譽損失
• 因檔案被加密導致重要系統無法正常運作

建議

• 趨勢科技建議可採取以下防範措施 : 趨勢科技產品病毒碼版本15.849.00已可偵測下列威脅，請盡速更新。

• 若有使用微軟網域服務，請注意網域控制站(DC)是否出現異常排程、異常帳號
• 檢查是否有異常網域群組原則(GPO)或異常檔案的建立、派送
• 監控網域與本機管理群組使用者帳號的新增記錄
• 檢視重要伺服器或電腦上是否出現異常的工作排程
• 使用多因子驗證登入，降低因使用者遭網路釣魚攻擊導致帳密洩漏、密碼暴力破解，而被駭客登入的風險
• 確認所有軟體與作業系統完成安全性更新，尤其是提供對外服務之伺服器。
• 密碼設定符合安全性要求，包含長度、複雜度等。
• 記錄遠端桌面服務登入記錄，建議重要主機(如ERP)登入記錄應儲存至遠端日誌收集系統，以後稽核追蹤。
• 部署多層次資安防護機制解決方案，除了端點防護解決方案以外，進階沙箱分析隔離不明檔案，應用程式控管與行為監控則可防止可疑檔案執行，並避免系統遭到未經授權的變更
• 利用DDI以及Deep Security過濾網路中出現可疑的內網擴散等攻擊活動
• 在Apex One中啟用勒索病毒防護功能 https://success.trendmicro.com/tw/solution/1122808
• 勒索病毒攻擊手法日新月異防不勝防，務必以三二一原則妥善備份重要檔案（三份備份，分別存放在兩種不同類型的裝置，一份放在異地或安全地點）