中油遭受勒索軟體攻擊，部分付款方式暫停使用

我們在最近兩年內，報導多起加油站或石油公司遭受網路攻擊的事件，如今這樣的情況現在也在臺灣上演。根據蘋果日報的報導，從今天（5月4日）中午開始，傳出有不少臺灣中油的加油站停擺，許多加油站的電腦當機，甚至出現只剩下一座加油島可用，民眾只能使用現金與信用卡加油，造成大排長龍的情況。對此，臺灣中油於在下午3時透過經濟部網站發出新聞稿，表示他們因為資訊系統出現操作異常，調查後發現遭到網路攻擊，有部分的系統感染勒索軟體病毒，導致加油站部分付款機制受到影響，消費者無法使用儲值卡（捷利卡）和行動支付（中油Pay）。

臺灣中油表示，事件發生的原因他們仍在調查，資訊單位正在儘速排除障礙，油品的生產及供應並未受到此次網路攻擊影響。由於捷利卡和中油Pay的作業流程，牽涉到該公司的內部系統，他們也宣布暫停使用，消費者加油必須使用現金或是信用卡來付款。

不只加油站受到影響，我們發現目前臺灣中油的網站也是無法存取，民眾若是想要查詢現在汽柴油的價格，必須透過其他的管道才能得知。

中油30年來大規模駭攻！中油Pay、捷利卡全停擺，企業如何防堵勒索病毒？

台灣中油公司今（4）日驚傳遭勒索病毒攻擊，目前全台加油站的捷利卡及中油PAY支付都已停擺，中油因而請消費者先使用現金及信用卡。所幸，其餘生產與油品供應的作業並未受到影響。

中油表示，遭受攻擊的內部系統與中油的官方網站為同一個，因此目前也暫時無法進入中油官網。而台灣中油總部大樓也進行內部廣播，請同仁暫勿使用相關電腦系統。

作為關鍵基礎設施，中油遭駭也是台灣社會整體安全亮黃燈的一個警示。就連中油副總經理方振仁也表示，他在公司服務三十餘年，這樣的情形還是他第一次碰到。總公司目前正在搶修當中，但究竟是何種勒索病毒、預計搶修時間要多久等問題，中油表示現階段尚在釐清。

勒索病毒已成主要資安威脅，攻擊所需時間從數週縮小至數小時

事實上，自2017年全球性勒索病毒Wannacry爆發以來，勒索病毒一年比一年來得猖狂。就在這個月，中國才傳出一個名叫「WannaRen」的新款勒索病毒。它會將中毒電腦裡的檔案全部加密、同時暗中挖礦謀利，並要求受害者支付0.05個比特幣（約新台幣一萬元）當作贖金。

駭客在中國的軟體下載網站上竄改部分軟體，並把病毒植入進去，使不知情的用戶在下載軟體後受害。雖然駭客後來主動釋出解密金鑰，多間中國防毒軟體公司如火絨、 360安全大腦也都提供WannaRen的解密工具，WannaRen也彰顯勒索病毒善於藏匿、防不勝防的特性。

美國科技媒體Wired指出，全球去年通報的勒索病毒案件數量較前一年增加4倍，而另一款新的勒索病毒LockBit更是在美國、英國、德國、法國、烏克蘭、中國、印度及印尼等地造成災情。

不同於WannaRen，LockBit更會針對企業或組織內部的網路管理者，駭入他們的帳號，藉此得到整個網路的權限。專家指出，過去許多勒索病毒在潛入內網後，都會花上數天甚至數週的時間研究內網的架構再進行攻擊。LockBit的技術更加精進，它只要花上數小時，就能掌握內網各節點間的連結方式，快速癱瘓整個網路，迫使受害者支付贖金。

如何防堵勒索病毒？資安大廠提供七大要點

那麼，面對勒索病毒，企業組織該有哪些應對措施？知名資安大廠賽門鐵克（Symantec）旗下的諾頓提供七大要點，督促人們要防患未然。

不要支付贖金。支付贖金只會變相鼓勵勒索病毒背後的駭客，而且即便支付了贖金，也無法保證你能取回遭到加密的資料。

從你信任的備份資源取回檔案。這是最快能夠重新取回檔案的方法。

避免在電子信件、電話、簡訊中提供自己的個人訊息。常見的招數包含利用IT管理員的身份騙員工下載惡意軟體，所以當接到可疑來電時，記得與公司內的IT部門再次確認。

使用有保證的防毒軟體，並隨時保持在最新的更新版本。

在電子信箱中採用內容過濾的套件，任何信件都該經過掃描、防止可疑的附件檔案滲透進電腦。

隨時更新電腦系統與軟體。這是能夠最有效防堵勒索軟體的方法之一。

在外旅遊使用公共wifi要特別留意，並記得通知IT部門。連線時確保自己透過可信任的VPN進行連線。

此外，今年來也出現如Spora等新種勒索病毒，可以傳播到受感染電腦中連接著的USB，並將該USB變成傳染源。員工若是將USB帶去公司使用，可能進一步擴大感染。因此，要更全面地防堵勒索軟體，除了上述幾項要點以外，員工自覺減少使用自己的外接硬碟，恐怕也相當關鍵。

台塑石油也證實系統出現異常！中油才被駭完就輪到台塑？

中油於昨天因遭受惡意程式攻擊，感染勒索病毒，導致民眾在各加油站消費時無法使用捷利卡、中油PAY等支付服務。而今天上午十點多開始，台塑的系統也出現異常，所有電腦關機停止運作，是否是駭客接力過來攻擊台塑？台塑目前僅承認系統出現異常，原因還在查證中。

台塑證實今天上午10點多，公司的系統突然出現異常，資訊部緊急通知疑似遭到駭客攻擊，所有電腦全關機停止運作，直到下午1點多，系統尚未恢復，詳細原因還在查證中。

「中油後換台Ｘ」發文，表示台塑的系統似乎也遭駭，不過好像影響範圍不一樣。而根據《三立新聞網》致電台塑，台塑證實有系統出現異常，目前正在進行檢查，不過詳細原因仍有待查證。

中油是因為遭到惡意程式攻擊，感染勒索病毒，受害的系統牽涉台灣中油內部系統，因此相關作業如捷利卡、中油PAY等暫停使用，請消費者改用現金或信用卡支付。而台塑目前的受害的原因不明，因此也不清楚是否與中油受到同樣的手法攻擊。

台塑也遭駭？官方全面關機搜出一隻病毒，來源調查中

中油集團昨（5日）遭勒索病毒攻擊後，台塑集團也傳出遭駭，「中油後換台x」的爆卦文，顯示台灣基礎能源設施亮起資安紅燈。

致電台塑，官方表示今早9點上班時，有同仁反應電腦出現異常狀況， 後來經資安部門檢查後有抓到一隻檔案病毒，為預防病毒出現擴散情況，當下先請各部門電腦系統全面關機，進行偵測檢查 。

台塑強調，第一線的加油站系統未受到影響，不過由於公司部門眾多，直到下午2點仍未全面恢復正常，處於關機狀態。

繼昨日中油發生駭客攻擊事件後，中油Pay、捷利卡、官網紛紛停擺，加油站只能收現金與信用卡的狀況，對此台塑在資安防護上就特別謹慎處理，而過去也未曾碰到駭客攻擊事件，至於這隻病毒來源，目前官方還在調查中。

中油台塑化遭駭 資安專家籲徹查駭客足跡

中油公司昨天遭惡意程式攻擊，台塑化今天成另一目標。資安專家表示，從以往案例來看，駭客鎖定目標後會進行持續性攻擊，建議企業應徹底調查駭客足跡，針對弱點修復和補強。

中油昨天遭受惡意程式攻擊，加油站資訊系統出現操作異常，導致捷利卡、中油PAY等暫停使用，不過，中油已在昨天晚間重新建立系統。今天再度傳出惡意程式攻擊，台塑化證實電腦主機遭到攻擊。

趨勢科技資深技術顧問簡勝財接受中央社記者電訪表示，依照過去看到的案例，如果駭客透過勒索病毒發動攻擊，目的就是要求贖金。這類型的攻擊並非最近才出現，過去兩三年都曾在國內外發生，駭客通常會鎖定目標，持續不斷攻擊，在防護上非常困難，並非安裝防毒軟體就可以防範。

他進一步表示，如果駭客第一次攻擊不成功，會尋找其他方法，發動第二波或第三波攻擊，直到達成目的；通常是為了取得企業內部掌控權，包括帳號、密碼都有可能成為目標。

簡勝財建議，企業應打造多層次防護，除了安裝防毒軟體之外，也要防範透過電子郵件的攻擊，甚至瀏覽網頁時也要注意中毒風險。企業可以透過資安設備過濾異常流量或駭客足跡，在惡意程式入侵或擴散前提早預警。

他也強調，企業遭受駭客攻擊後，一定要徹底調查，因為駭客入侵絕不是攻擊一台電腦而已，會設法擴散到更多電腦和重要設備，應該調查駭客從哪些管道進來、哪些帳號或權限已經被駭客掌握。透過調查駭客足跡或行為，才能針對有弱點的地方做修復和補強。

民眾發現部分中油加油站尚未恢復正常，傳聞受到二度攻擊，中油發出聲明否認，表示是逐站檢測導致暫停發油

台灣中油於5月4日中午傳出受到惡意程式攻擊，內部系統感染勒索病毒，導致加油站營運遭受衝擊，部分付款管道被迫停用。該公司宣稱於5日已緊急修復完車隊卡、會員卡，以及捷利卡的付款系統，但後來卻傳出再度遭到攻擊，導致加油站未能正常供應汽柴油。對此，中油於7日下午2時30分，第3度在經濟部網站上發出新聞稿，否認這項傳聞，表示無法加油的原因，是他們為了謹慎起見，逐站重新檢測電腦，導致民眾前往加油站加油時，可能會遇到泵島電腦的重整作業，而暫停供應。中油強調，加油站的油品供應沒有中斷。

該公司指出，他們在受到攻擊後，立即動員修復營運系統及加油站電腦，因為網路中斷而無法連線作業的車隊卡、捷利卡，以及中油Pay等，陸續於5日恢復使用。他們也針對加油站前臺與後臺主機，包含加油泵島與營業室的電腦，安排檢查與修復的作業。但為求謹慎，他們還是決定針對正在運作中的電腦進行分區檢查。

雖然中油的網站已經恢復運作，但這次的新聞稿還是透過經濟部網站發布，對此中油副總經理方振仁表示，由於內部受損的資訊系統尚在修復當中，為求自家網站的內容正確，以及網站的運作穩定等考量，他們選擇先在經濟部網站上進行公告。

對於網路傳聞有部分付款方式仍無法使用的情況，方振仁認為應為個案，所有付款5日晚上已經復原，於6日開始都可以正常運作。至於這兩天有傳出民眾想要加油，到了加油站卻發現白跑一趟的現象，我們也致電幾家大臺北地區的加油站，其中，中和站與永利路站表示已經正常營運，但還是有部分加油站尚未復原，例如，濱江大直橋站表示，他們暫時只能提供自助加油，消費者也必須使用信用卡付款，一旦加油泵島的發票用完後，他們就無法再提供相關服務。

調查局披露中油、台塑駭客案為同一駭客集團所為，至少有10家企業已經被駭客滲透只是還沒爆發

中油在5月4日時遭到勒索病毒攻擊，導致當時消費者僅能用現金及信用卡交易，而隨後又有台塑以及其它企業陸續傳出類似的攻擊事件。經過法務部調查局的追查，今天召開記者會表示，這一系列的攻擊為境外駭客集團「Winnti Group」所為。

今年5月4日至5日國內多家重要能源及科技公司接連遭勒索軟體攻擊，駭客入侵並將勒索軟體植入公司內部系統、個人電腦及伺服器等資訊設備，儲存的重要檔案均無法開啟，除營運受到嚴重影響外，駭客亦要求交付贖金。

調查局表示，這個駭客集團Winnti Group要求每部遭病毒攻擊的電腦需支付3千美金贖金（約新台幣9萬元），並對受害的企業表示，如果不付錢就會繼續攻擊國內10家其他企業。

而且，這群駭客佈局已久，在數月前透過員工個人電腦、網頁及DB伺服器，入侵公司內部網路並開始刺探與潛伏，俟竊取特權帳號後侵入網域控制伺服器(AD)，並利用凌晨時段竄改群組原則(GPO)以派送具惡意行為的工作排程，當員工打開電腦會立即套用GPO並執行此工作排程，待核心上班時段，自動執行駭客預埋在內部伺服器中的勒索軟體下載至記憶體中執行，若檔案加密成功即會顯示勒索訊息及聯絡電子信箱。

在犯案過程中，駭客亦留有後門程式連往境外中繼站，駭客係向美國境內之「雲端主機(VPS)」服務提供商(負責人係華裔人士)租用雲端主機作為駭客中繼站，並使用商用滲透工具Cobaltstrike作為遠端存取控制之用，從本局掌握的後門程式組態檔、中繼站的IP及網域名稱等相關資訊，研判該駭客組織為Winnti Group或與該組織有密切關聯的駭客。

而根據他們的聲明，駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊。調查局表示，依照本案行為模式研判，駭客既然鎖定了這10家企業，也表示他們應已在這些企業的網路滲透並潛伏數月之久。

調查局呼籲國內企業即刻進行以下檢查：

1.檢視企業網路防護機制，如對外網路服務是否存在漏洞或破口、重要主機應關閉遠端桌面協定(RDP)功能等。

2.觀察企業VPN有無異常登入行為或遭安裝SoftetherVPN及異常網路流量，如異常的DNS Tunneling、異常對國內外VPS的連線等。

3.注意具軟體派送功能之系統，如網域/目錄(AD)伺服器、防毒軟體、資產管理系統，尤其注意AD伺服器的群組原則遭異動、工作排程異常遭新增等。

4.更新防毒軟體病毒碼，留意防毒軟體發出之告警，極可能是大範圍感染前之徵兆。

5.加強監控網域中特權帳號，應限定帳號使用範圍與登入主機。

6.建立備份機制，並離線保存。

中油與台塑遭攻擊事件的受害規模，首度被媒體揭露

臺灣的兩大石化公司中油與台塑集團，於5月初先後傳出遭到電腦病毒攻擊，這兩家公司也對於事件處理的情形，發出新聞稿或是向媒體說明，但對於受害規模與進一步細節，始終沒有提供相關的資訊，使得外界眾說紛紜。最近，有商業雜誌對此披露兩家公司受害的情形，我們今天（18日）針對這篇報導向兩家公司洽詢，證實相關的情形是否存在，對方均表示尊重媒體報導，並未堅決否認，他們的態度讓我們認為，相關報導內容應有一定的真實性，否則不會採取這樣的方式來表達他們的立場。

事件源頭都是在石化公司的輕油裂解廠

商業周刊在報導裡引述中油高雄林園廠員工的說法，表示雖然生產線上的工業電腦沒有受到影響，但行政作業卻嚴重受到衝擊，因為線上簽核系統無法使用，要支付給協力廠商的費用不能行文與簽核，導致中油只能延後付款。這名員工也指出攻擊事件發生的經過，是在4日的上午11點，他想要喚醒電腦找檔案，發現所有檔案都無法開啟，同時電腦出現英文的訊息，指出檔案只會保留5天，詢問其他同事才曉得，整個辦公室的電腦都遇到相同問題。接近中午12時，園區的行政大樓廣播要求大家趕快關機，自此之後，他的電腦就關機5天。這名員工也透露，中油公司優先處理第一線與民眾接觸的加油站，廠區的災情外界沒有人知道，事發的5天後，林園廠區多數行政電腦仍然無法使用。

此外，商業周刊也詢問中油的上層主管機關，也就是經濟部國營事業委員會（以下簡稱國營會），該單位的發表人胡文中證實，中油全臺灣有1萬多臺執行Windows作業系統的行政電腦，這起事故共有超過7,500臺中勒索病毒，遭感染的比例超過七成。

針對上述報導內容，我們也向中油進行確認。台灣中油發言人方振仁表示，高雄林園廠與管理有關的電腦，確實有部分受害，不過他沒有透過進一步的細節，只承認胡文中揭露的受損情形。他也認為，這名員工指出公文系統受到影響，導致無法付款給廠商的情況，有其他的方式能夠因應，例如，先以紙本作業，等到公文系統恢復正常，再調整電腦上的內容。而對於員工所透露的內容，方振仁表示他們不鼓勵員工這麼做，但是公司也難以防範員工接受媒體採訪。

至於胡文中提供有7千多臺電腦受害的資訊，方振仁指出，上述內容確實是他們向國營會承報，但該公司沒有在新聞稿揭露這些數據的原因，方振仁認為，中油這幾次公布的資訊，著重於想要表達的重點，受害數字的揭露並不是他們的主軸。

另一方面，商業周刊的報導也針對台塑集團於5日發生的事故，揭露更詳細的資訊。像是事件最早發生的源頭，是發生在六輕園區，而台塑總部大樓則是在接獲資訊處的通報後，要求全部員工電腦立刻關機。該公司的一名資訊處主管向商業周刊表示，為了避免病毒擴散到分公司或是長庚醫院，資訊團隊切斷海內外伺服器連線，也有外部資安專家進駐協助處理，他們將中毒電腦的數量，「百分比控制在個位數」。

我們也向台塑集團的公關室確認此事，他們表示，該公司的資訊團隊並沒有提供公關室這些訊息，因此他們僅能告訴我們已經接獲的情報，像是資訊部門當天即確認完大部分電腦並未感染病毒，儲存的資料已經恢復正常，而無法證實上述報導的真實性。公關室也坦言，他們公司傾向不願意對外說明此事，只願意揭露大概的狀況。