資安公告 【攻擊預警】教育機構ANA通報近期勒索軟體攻擊頻繁,國內醫院首遭駭客大規模攻擊,請各學校加強防範並提供學校緊急應變處理建議方式 !
(此通報為正式資安事件情資分享 ( https://hisac.nat.gov.tw/news?265 ) ),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
一、依據教育機構資安通報平台通報郵件辦理。
二、近期發生學校與醫院遭受勒索軟體攻擊之事件,駭客透過系統管理者電腦進行橫向攻擊。再利用網內其他主機散播勒索軟體加密檔案,導致多主機內的服務中斷與資料被加密。另在醫院受到勒索軟體 Crazy Hunter 之攻擊,目前已知有下列惡意程式名稱: bb.exe 、 crazyhunter.exe 、 crazyhunter.sys 、 zam64.sys 、 go3.exe 與 go.exe ,提供參考。
三、面對勒索軟體攻擊,事先預防勝於事後應變,建議各單位除加強資料備份外,亦可建立離線備份。
四、在帳號與密碼之安全建議,除定期更換密碼與加強密碼強度外,應避免同一管理者使用同一組密碼同時管理多台電腦或主機之情形。
五、[建議措施:]
1. 定期進行系統與防毒軟體的安全性更新。
2. 建議留意可疑電子郵件,注意郵件來源正確性,勿開啟不明來源之郵件與相關附檔。可掃描郵件及附檔,以偵測和阻擋惡意程式入侵。例如:開啟檔案前可使用防毒軟體掃描郵件附檔,並確認附檔檔案類型,若發現檔案名稱中存在異常字元(如 exe.pdf, exe.doc, pdf.zip, lnk, rcs, exe, moc 等可執行檔案附檔名的逆排序),請提高警覺。
3. 可落實網段切割隔離機制或使用內部虛擬 IP 勿使用實體 IP 降低被攻擊風險,縮小可能被攻擊的主機數量。
4. 強化高權限帳戶的監控措施,如登入次數過多則關閉該帳戶、紀錄登入行為、偵測可疑行為等。
5. 敏感性資料或郵件及儲存資料 NAS 等系統應採用多因子身分認證機制。
6. 定期進行檔案備份,並遵守備份 321 原則 :
(1) 資料至少備份 3 份
(2) 使用 2 種以上不同的備份媒介
(3) 其中 1 份備份要存放異地 。
