![T500定制 (72) [轉換]-01.png](https://static.wixstatic.com/media/b6f49f_9a6c8a5984ed433aa6c1479d8a92f5ff~mv2.png/v1/fill/w_631,h_422,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/b6f49f_9a6c8a5984ed433aa6c1479d8a92f5ff~mv2.png)
【資安焦點】DevMan 勒索軟體突襲 4 家台灣企業,下一個會是誰?
- Gisele Huang
- 8月11日
- 讀畢需時 3 分鐘
新興勒索軟體駭客組織DevMan在同一天於暗網公布4家臺灣受害企業,並表示從中竊取200 GB至960 GB不等的資料,開價1百萬至6百萬美元贖金,有資安專家認為,根據贖金金額,這些受害企業應為上市櫃公司
從今年開始,勒索軟體駭客CrazyHunter、NightSpire接連針對多家臺灣上市櫃公司發動攻擊,使得上市櫃公司的資安防護議題再度浮上檯面,只要有勒索軟體駭客聲稱他們攻擊臺灣企業組織,就會格外引起臺灣各界的關注,如今有駭客組織一口氣聲稱對4家臺灣公司下手,這樣的情況相當罕見。
根據自由時報的報導,DevMan近期在暗網公布4家臺灣受害企業,並聲稱握有這些公司200 GB至960 GB不等的資料,並索討1百萬至6百萬美元(約新臺幣2,997萬至1.8億元)。他們取得資安專家的說法,如此高額的贖金,受害企業很可能都是上市櫃公司。但與許多勒索軟體組織有所不同的是,他們並未公布受害組織全名,而是以星號遮蓋部分字母。
資安專家認為,DevMan在一天內聲稱攻擊了4家臺灣企業,且開出不同級距的贖金,這些駭客的操作,很可能代表三件事,首先,駭客可能掌握特定漏洞,能夠大規模滲透同類型目標;再者,他們鎖定特定產業鏈或供應鏈節點,而能一口氣攻擊多家公司。此外,駭客有可能將臺灣特定產業當試驗場,嘗試進行區域性勒索活動。
我們也在網路上搜尋相關資料,恰巧看到威脅情報網站Cybersecurity News Everyday、威脅情報業者DeXpose指出,他們發現DevMan於8月1日公布4家受害的臺灣公司,他們是:BUL Corp(b*u*l*****.tw)、KW International(kw****.tw)、Prowess Corp(pr*****.tw),以及一家僅有公布為臺灣公司(***.c*m.tw)的受害企業,駭客索討的金額分別是110萬美元、100萬美元、105萬美元,以及600萬美元。
針對這個勒索軟體駭客組織的來歷,最早由資安業者Cyble發現並提出警告,DevMan約在今年5月開始活動,聲稱在5月就有13家受害的企業組織,而引起他們的注意,其中一起攻擊泰國媒體的事故裡,駭客聲稱將所有的系統與NAS設備檔案加密。該組織與Qilin、Apos、DragonForce、RansomHub等勒索軟體租用服務(Ransomware-as-a-Service)有合作關係。
資安業者Check Point揭露另一起針對泰國勞動部的資安事故,當時他們的網站遭到破壞,駭客聲稱竊得300 GB敏感資料,他們入侵2千臺筆電、數十臺伺服器,並將檔案加密。DevMan向泰國勞動部勒索1,500萬美元贖金。
雲端沙箱業者Any.Run對DevMan的加密工具進行分析,指出該組織的加密工具源自於DragonForce,大多重覆使用DragonForce的程式碼基礎(Codebase),雖然大部分的防毒引擎會將其標記為DragonForce或是Conti,但DevMan的加密工具存在獨有的行為,使得他們認為這群駭客並非單純的DragonForce加盟主。附帶一提的是,除了透過SMB進行偵察,DevMan的惡意程式大多惡意活動都是離線進行,而且,他們發現這款加密工具並未出現對外的C2通訊。這些駭客主要的攻擊目標是亞洲和非洲,但拉丁美洲與歐洲也有受害組織。
近期,DevMan 勒索軟體聲稱同時攻擊多家台灣企業。
一旦入侵成功,它會在內網高速橫向移動、竊取資料並加密多台設備,
最後再以公開資料與癱瘓業務作為籌碼勒索巨額贖金。
這次事件再次提醒我們: 防禦不能只靠邊界防火牆,內網才是勒索攻擊的主戰場。
Janus netKeeper 專為防範此類「滲透後擴散」攻擊而設計:
✅ 自動化微網段隔離 – AI 學習正常連線模式,異常行為立即封鎖。
✅ 零信任內網防禦 – 阻斷跨設備、跨部門的橫向移動。
✅ 即時阻斷資料外洩 – 偵測到大流量異常上傳,立即切斷並通報。
✅ 快速復原機制 – USB/SD 卡一鍵還原,系統快速回到安全狀態。
在勒索軟體擴散前,我們就已經出手阻擋。
守住最後一道防線,讓企業不再成為新聞主角。
