健喬信元是股票上櫃知名藥廠,集團使用8個國產原料藥,製成7項產品,涵蓋心血管與代謝、癌症用藥及婦女健康照護領域,其中化痰藥「愛克痰」更是全台市占率第一的家庭常備藥;為了搶攻「國家藥物韌性整備計畫」藥物採購市場,健喬信元預計今年推出5項新品,表示將從源頭產製到臨床使用,協助台灣全面建構藥物供應防線,沒想到竟成駭客鎖定目標。
剛公告遭駭 暗網就貼出「戰果」
4月7日,股票上櫃的健喬信元醫藥生技公司主動在公開資訊觀測站發出公告,揭露公司資訊系統遭受駭客攻擊,經公司內部偵測異常後,立即啟動資安應變機制及系統復原程序,進行系統隔離與清查。公告中強調相關資料已陸續恢復中,本事件對公司營運無重大影響。
豈料,公告發出後不到20天,4月26日暗網隨即出現一封恐嚇信,該恐嚇貼文是由國際勒索組織 DragonForce張貼,張貼者聲稱已成功竊取健喬信元生技公司逾280GB資料,貼文中同步啟動倒數計時機制,揚言屆時將公開健喬公司所有資訊,藉此要脅該公司主動聯繫、支付贖金。
典型雙重勒索 駭客攻擊手法曝
據了解,DragonForce 勒索組織的攻擊模式,最初透過外網服務弱點、VPN/RDP 憑證外洩、釣魚郵件或第三方供應鏈管道取得存取權限,接著執行內網偵察,盤點 AD 架構、關鍵伺服器、備份節點與高權限帳號,再透過憑證竊取、權限提升與遠端執行工具進行橫向移動,同時破壞防禦能力,並在竊得資料外傳後同步加密檔案伺服器、虛擬化環境與核心業務系統,形成典型雙重勒索模式,藉此提高談判籌碼。
資安專家分析,DragonForce 的威脅性不僅是勒索程式本身,而在於其具備完整的入侵後作戰能力,受害單位往往在加密發生前,內網早已遭長時間滲透與掌握。此次健喬信元資安事件中,DragonForce 標示「280.15GB資料量」與倒數34天,正是典型雙重勒索操作手法,同時向市場與企業施壓。
健喬非首例 生技業已成新目標
事實上,健喬信元並非首家遭攻擊的台灣生技製藥企業。近年已有多家上市櫃生技與藥廠陸續遭遇勒索病毒、資料外洩或重大資安事件,已知受害廠商至少包括永信藥品、南光製藥、永昕生物醫藥、大江生醫等知名業者。
資安專家分析,從攻擊者角度來看,生技與藥廠至少具備3項高價值特徵,是攻擊勒索後投報率極高的產業。因為生技藥廠普遍研發資料價值高,包括新藥開發、臨床資料、配方設計與製程參數等都具備高度商業價值;此外生技藥廠停機成本極高,一旦產線、ERP、MES與倉儲系統中斷,將直接影響出貨與供應鏈,不僅如此,生技藥廠的品牌與信任敏感度高,醫藥企業一旦遭駭,市場對其品質、供應穩定與資料安全的信任可能大幅降低。最重要的是,多數生技藥廠支付贖金的意願都比較高,畢竟停工一天的損失,往往高於贖金。
雙重勒索攻擊 「備份即可」已過時
資安公司竣盟科技總經理鄭加海指出,從產業風險管理角度來看,生技製藥企業一旦遭駭客入侵竊密,外界必然會進一步關注事件是否影響經銷與庫存調度系統、生產排程與營運流程、原料採購與供應鏈資料、OEM合作文件與商業資訊、員工或客戶資料安全、市場與投資人信心。因此企業資安不能停留在「有備份即可」、「有防火牆就足夠」、「被駭再處理」的傳統思維,才能應對現代勒索軟體的雙重勒索攻擊,降低企業營運風險。
