台灣中油5月初遭勒索病毒攻擊，導致系統大當機，經調查後，發現駭客是來自境外的「Winnti Group」。

調查局表示，這次是透過個人電腦、網頁入侵伺服器，再將勒索軟體送往全公司電腦，囂張駭客近日甚至揚言，要再對國內10家公司發動攻擊，目前已知有中油、台塑、及一家科技公司受害。政府正透過國際管道，請求協查境外電子信箱、中繼站。

調查局15日舉行記者會說明，目前已取得6組瑞士、德國可疑電子郵件帳戶，對受害公司威脅取得內部資料，對每台被勒索的電腦要求美金3000元贖金，並揚言若不乖乖付錢，將再攻擊國內10家企業。

資安站副主任劉家榮說，網路駭客在幾個月前透過員工個人電腦、網頁及DB伺服器，入侵被害公司內部網路刺探、潛伏，等到竊取特權帳號後，即侵入網域控制伺服器，並利用凌晨時段竄改群組原則，以派送具惡意行為的工作排程。

劉家榮繼續指出，一旦員工打開電腦後，電腦會立即套用GPO並執行此工作排程，待上班時段，再自動執行駭客預埋在內部伺服器中的「勒索軟體」下載至記憶體中執行，若檔案加密成功，則會顯示勒索訊息及聯絡電子信箱。

劉家榮說，犯案過程中，駭客留後門程式連往境外，向美國境內華裔的「雲端主機（VPS）」服務提供商租用雲端主機作為中繼站，並使用商用滲透工具Cobaltstrike作為遠端存取控制之用。

至於有其他媒體報導，指出台灣中油公司昨（14）日「又被駭」，中油15日對此鄭重澄清並非事實，表示因剛經歷遭惡意程式攻擊事件，員工保持高度警覺，有員工操作異常誤以為有病毒攻擊因而提醒其他人依作業程序斷網、關電源，資訊人員也很快就檢測確認並沒有再次遭攻擊，各項業務及加油站作業皆維持正常運作。

最後，調查局呼籲，各企業應檢視對外網路服務是否存在漏洞、破口， 並觀察企業VPN有無異常登入，或遭安裝SoftetherVPN及異常網路流量，且要更新防毒軟體病毒碼、留意軟體發出之警告，並建立備份機制、離線保存。（國台辦突拋11項「惠台措施」拉攏台商）