勒索軟體DevMan聲稱一口氣對4家臺灣企業下手

從今年開始，勒索軟體駭客CrazyHunter、NightSpire接連針對多家臺灣上市櫃公司發動攻擊，使得上市櫃公司的資安防護議題再度浮上檯面，只要有勒索軟體駭客聲稱他們攻擊臺灣企業組織，就會格外引起臺灣各界的關注，如今有駭客組織一口氣聲稱對4家臺灣公司下手，這樣的情況相當罕見。 

根據自由時報的報導，DevMan近期在暗網公布4家臺灣受害企業，並聲稱握有這些公司200 GB至960 GB不等的資料，並索討1百萬至6百萬美元（約新臺幣2,997萬至1.8億元）。他們取得資安專家的說法，如此高額的贖金，受害企業很可能都是上市櫃公司。但與許多勒索軟體組織有所不同的是，他們並未公布受害組織全名，而是以星號遮蓋部分字母。

資安專家認為，DevMan在一天內聲稱攻擊了4家臺灣企業，且開出不同級距的贖金，這些駭客的操作，很可能代表三件事，首先，駭客可能掌握特定漏洞，能夠大規模滲透同類型目標；再者，他們鎖定特定產業鏈或供應鏈節點，而能一口氣攻擊多家公司。此外，駭客有可能將臺灣特定產業當試驗場，嘗試進行區域性勒索活動。

我們也在網路上搜尋相關資料，恰巧看到威脅情報網站Cybersecurity News Everyday、威脅情報業者DeXpose指出，他們發現DevMan於8月1日公布4家受害的臺灣公司，他們是：BUL Corp（b*u*l*****.tw）、KW International（kw****.tw）、Prowess Corp（pr*****.tw），以及一家僅有公布為臺灣公司（***.c*m.tw）的受害企業，駭客索討的金額分別是110萬美元、100萬美元、105萬美元，以及600萬美元。

針對這個勒索軟體駭客組織的來歷，最早由資安業者Cyble發現並提出警告，DevMan約在今年5月開始活動，聲稱在5月就有13家受害的企業組織，而引起他們的注意，其中一起攻擊泰國媒體的事故裡，駭客聲稱將所有的系統與NAS設備檔案加密。該組織與Qilin、Apos、DragonForce、RansomHub等勒索軟體租用服務（Ransomware-as-a-Service）有合作關係。

資安業者Check Point揭露另一起針對泰國勞動部的資安事故，當時他們的網站遭到破壞，駭客聲稱竊得300 GB敏感資料，他們入侵2千臺筆電、數十臺伺服器，並將檔案加密。DevMan向泰國勞動部勒索1,500萬美元贖金。

雲端沙箱業者Any.Run對DevMan的加密工具進行分析，指出該組織的加密工具源自於DragonForce，大多重覆使用DragonForce的程式碼基礎（Codebase），雖然大部分的防毒引擎會將其標記為DragonForce或是Conti，但DevMan的加密工具存在獨有的行為，使得他們認為這群駭客並非單純的DragonForce加盟主。附帶一提的是，除了透過SMB進行偵察，DevMan的惡意程式大多惡意活動都是離線進行，而且，他們發現這款加密工具並未出現對外的C2通訊。這些駭客主要的攻擊目標是亞洲和非洲，但拉丁美洲與歐洲也有受害組織。