Lockbit勒索軟體攻擊京鼎半導體

Hsinchu, Taiwan - January 17, 2024 - 2024年初，鴻海集團旗下的主要半導體設備製造商，京鼎集團（Foxsemicon Integrated Technology Inc., Fiti, 台灣證券交易所：3413），遭受了LockBit勒索軟體的網路攻擊。LockBit是一個奉行 “勒索軟體即服務(RaaS)” 的網路犯罪集團。該集團開發的勒索軟體，不僅竊取了京鼎集團的內部資料，還威脅要將其公開。

此外，LockBit網路犯罪集團更進一步劫持了京鼎的官方網站，將官方網站替換為一則消息，宣稱他們已經盜取了5TB的資料，包括客戶資訊。並威脅京鼎的員工，警告他們如果公司不服從他們的要求，可能會面臨失去工作。

這是台灣首次發生網路犯罪分子既竊取資料又劫持公司網站的事件。京鼎則發表了一份公開聲明，向客戶和利益相關者保證，初步評估顯示對公司運營沒有重大影響。同時，京鼎聯繫了法務部調查局，要求對此一事件進行全面調查。

Hijacked Foxsemicon Website. Image is from UDN.

About Lockbit

關於Lockbit 勒索軟體的感染途徑，一開始是先用電子郵件的附件寄送，只要有人不小心點擊，導致Lockbit開始執行，它就開始掃描附近設備，是否有它能利用的網路漏洞，一旦有，就將自己複製過去，並遠端執行新的這一份Lockbit 勒索軟體。

所以，不要隨意開啟附件，永遠記得定期備份，仍是一般防範勒索軟體的建議。

值得注意的是，第三代Lockbit有分紅制度，所以不排除內鬼在公司內部啟動Lockbit。所以要在公司內部各個網段，大量佈建類似 Pico-UTM 或 Tera-UTM 這種網路安全過濾器，才能阻止Lockbit在內部爆發。

Lionic Actions

得知這個新聞後，鴻璟科技迅速檢查防毒資料庫中的 LockBit 勒索軟體。結果，雲端防毒伺服器已經收集了超過50萬個 LockBit 勒索軟體家族的變種病毒實體。

以下是部分能夠偵測 LockBit 病毒家族的病毒碼清單:

研究 LockBit 勒索軟體的感染方式後，有14個網路安全漏洞 (Common Vulnerabilities and Exposures，CVEs) 可能被 LockBit 利用。這14個網路安全漏洞，在被研究人員發現時，鴻璟科技團隊就已經設計了相關的防駭客入侵特徵碼了。並不需要針對這事件再採碼。

以下是針對這14個CVEs的駭客入侵特徵碼清單:

前述 Lockbit anti-virus 與 anti-intrusion 特徵碼的說明顯示，Lionic 所有的網路安全產品，包括 Pico-UTM、Tera-UTM 和 Dual Ark-UTM，已經證明能夠有效防禦LockBit。這些產品都能夠同時從防毒和防駭客入侵兩方面抵抗勒索軟體。Lionic的網路安全產品配備有完整的防護措施，能提供對勒索軟體威脅的全面保護。

鴻璟科技董事長呂炳標強調道: “鴻璟科技投資了大量人力物力於勒索軟體的研究與防禦，除了備份資料以外，採用鴻璟科技的 Pico-UTM, Tera-UTM, or Dual Ark-UTM 不失為一個對抗勒索軟體的好方法”

確實，防範勒索軟體的最佳方法還是定期資料備份。此外，用戶還可以選擇一些網路安全設備來阻擋勒索軟體。鴻璟科技確信採用 Pico-UTM、Tera-UTM 或 Dual Ark-UTM 會是對抗勒索軟體的最佳選擇。採用這些產品，用戶遭受勒索軟體攻擊的風險顯著降低，重要的資料和資產自然就被保護了。

Reference

1. “國內首例 駭客挾持京鼎網站 公開威脅”, https://udn.com/news/story/123894/7714748
2. “Lockbit”, https://en.wikipedia.org/wiki/Lockbit
3. “All About LockBit Ransomware”, https://www.securin.io/articles/all-about-lockbit-ransomware/