臭名昭著的勒索軟體組織 Qilin,透過成功攻破韓國一家 IT 託管服務商 GJTec,發動了一起代號為「Korean Leaks」的供應鏈攻擊,一次性讓 28 家韓國金融機構中招,總計超過 100 萬份檔案、2TB 敏感資料被偷走。
(前情提要:安全公司:北韓駭客已滲透 15~20% 加密貨幣企業)
(背景補充:AI 項目 Port3 跨鏈橋被攻破:駭客狂印 10 億枚幣拋售,幣價閃崩 80%)
據《The Hacker News》報導,臭名昭著的勒索軟體組織 Qilin,透過成功攻破韓國一家 IT 託管服務商 GJTec,發動了一起代號為「Korean Leaks」的供應鏈攻擊,一次性讓 28 家韓國金融機構中招,總計超過 100 萬份檔案、2TB 敏感資料被偷走。這是 2025 年以來韓國金融業遭遇的最嚴重的一次網路危機。
誰是兇手?誰是受害者?
主謀是國際知名的勒索軟體集團 Qilin(又稱 Agenda),是一個極度活躍的勒索軟體即服務(RaaS)團體,背後很可能有俄羅斯背景,但他們對外自稱是「政治活動家」。今年,Qilin 已成為全球最活躍的勒索組織,僅 10 月單月就宣稱攻擊了超過 180 個目標。特別之處在於,這次行動很可能還有朝鮮(北韓)國家背景的駭客團體「Moonstone Sleet」參與,形成了「犯罪集團+國家駭客」的罕見聯手模式。
受害者清一色是韓國的資產管理公司,包括 LX、Human、Bridge、Majesty 等知名業者,共 28 家。駭客不只加密了受害公司的電腦,還把客戶資料、內部郵件、投資組合,甚至疑似涉及股市操縱的證據全部偷走。
駭客怎麼做到的?
調查顯示,駭客只攻破了一家名叫 GJTec 的 IT 服務商,這家公司專門幫中小型金融機構管理電腦、備份資料、維護系統。GJTec 被駭後,駭客就像拿到了「萬能鑰匙」一樣,直接登進 28 家客戶的系統,部署 Qilin 勒索軟體,開始雙重勒索:不付錢就公開資料+銷毀系統。
值得一提的是,整個行動分三波在暗網洩露資料:
- 第一波:2025 年 9 月 14 日,10 家受害者
- 第二波:2025 年 9 月 17-19 日,9 家受害者
- 第三波:2025 年 9 月 28 日至 10 月 4 日,9 家受害者
值得注意的是,駭客在前兩波洩露資料時,充滿了政治宣傳,聲稱要「揭發韓國的金融腐敗」、「可能重創韓國股市」,甚至點名「知名政商人士」。到第三波才恢復傳統的勒索語氣,顯示背後可能有不同勢力在操控訊息。
這次攻擊有多嚴重?
2TB 資料聽起來抽象,但換算下來等於上百萬份合約、客戶身分證字號、銀行帳戶、投資紀錄全被偷走。一旦真的全數公開,可能引發嚴重後果,包括:
- 客戶個資外洩導致詐騙、身份盜用
- 股市操縱證據曝光,引發市場恐慌甚至股災
- 金融機構被監管單位重罰、客戶集體求償
- 韓國整體金融信譽受損,外資卻步
更危險的是,這顯示「供應鏈攻擊」已經成為駭客新寵:不用一家一家打,只要攻破中間的 IT 服務商,就能一次收割數十家、甚至上百家企業,成本低、收益高。
一般企業怎麼自保?
面對這種攻擊,或許採取以下手段,能夠有效避免受到入侵:
- 一定要跟所有外部 IT 供應商簽「資安責任條款」,要求對方強制開啟多因素認證(MFA)、定期進行弱點掃描。
- 重要資料不要全放在同一個系統,採用「最小權限原則」:誰不需要看就不給看。
- 關鍵資料一定要「異地備份」且「離線保存」,即使讓駭客加密了主機還留有後手。
- 定期模擬「供應商被駭」演練,確認自己能否快速斷開連線、恢復系統。
📍相關報導📍
DWF Labs傳遭北韓駭客洗劫4,400萬美元卻隱瞞至今!ZachXBT:一點都不令人意外
