事件摘要與背景分析

羅馬尼亞水務局（Administrația Națională Apele Române）是該國的水務管理機構，週末期間遭受了勒索軟體攻擊。攻擊者利用 Windows 內建的 BitLocker 安全功能鎖定受感染系統上的文件，然後留下勒索信，要求在 7 天內與他們聯繫。

這起事件標誌著攻擊者策略的轉變：不再單純依賴自製的惡意加密程式，而是轉向濫用作業系統內建的合法管理工具。這種「以子之矛，攻子之盾」的手法，極大地降低了攻擊成本，同時增加了安全監控工具（如端點防護軟體）辨識惡意行為的難度。

攻擊規模與受響範圍評估

國家網路安全局 (DNSC) 官員週日表示，這起事件影響了國家水務局及其 11 個區域辦事處中的 10 個辦事處的約 1000 個電腦系統。雖然這次漏洞影響了運行地理資訊系統、資料庫、電子郵件和網路服務的伺服器，以及 Windows 工作站和網域伺服器，但控制水利基礎架構的營運和營運技術 (OT) 系統並未受到影響。

這顯示了攻擊者目前的主要目標集中在資訊技術（IT）層級，試圖透過癱瘓行政與管理職能來迫使機構支付贖金。儘管地理資訊系統（GIS）受損會影響水資源調度與分析的長遠精準度，但由於 IT 與 OT 系統具備一定程度的網路隔離，核心的水利控制功能得以倖免於難。

緊急應變與韌性維持機制

國家水利安全委員會（DNSC）在周一發布的最新消息中補充道：水利設施的調度和運行均在正常範圍內進行，主要通過電話和無線電通信。水利設施安全可靠，由服務人員在調度員的協調下進行本地操作。

在數位化系統全面癱瘓的極端情況下，羅馬尼亞水務局展現了傳統「離線操作」的韌性。透過人工操作、電話通報與無線電協調，確保了民生用水與基礎設施的安全。這一點對於全球關鍵基礎設施管理者而言是重要的啟示：即便在高度自動化的時代，維持一套不依賴網際網路的手動備援計畫仍是國家安全的基石。

地緣性勒索軟體攻擊趨勢分析

這是近年來羅馬尼亞遭受的最新一起重大勒索軟體攻擊，一年前，羅馬尼亞主要電力供應商和分銷商 Electrica Group 也曾遭到 Lynx 勒索軟體團伙的攻擊；此外，2024 年 2 月 Backmydata 勒索軟體攻擊導致羅馬尼亞 100 多家醫院的醫療管理系統癱瘓，被迫關閉系統。

這一連串針對能源、醫療與水務部門的攻擊，顯示羅馬尼亞的關鍵基礎設施已成為國際勒索軟體組織（RaaS）或具備國家背景攻擊者的重點目標。這些攻擊不僅是為了財務收益，更可能旨在測試該國對大規模資安事件的應對能力與社會穩定度。

技術深度解析：合法工具的惡意轉向

本案中最引人注目的是對 BitLocker 的濫用。BitLocker 本意是為保護數據隱私而設計，但當攻擊者取得系統最高管理權限後，可以透過腳本自動化開啟全碟加密並刪除備份金鑰，使受害者面臨與傳統勒索軟體完全相同的結果。

這種手法使防禦者面臨兩難：企業無法完全禁止 BitLocker，因為這是重要的合規性與加密工具。因此，偵測的重點必須從「禁用工具」轉向「異常管理行為監控」，例如監控非法腳本觸發的 BitLocker 配置更改、大量刪除磁碟影子複製（Shadow Copies）以及異常的遠端管理行為。

關鍵基礎設施防護策略建議

針對類似水務局的公共服務機構，台灣應用軟件建議應落實以下防禦層級：

強化 IT 與 OT 的實體或邏輯隔離 確保核心控制系統（SCADA）永不與對外聯網的行政系統直接相連。

管控管理工具的執行權限 針對 BitLocker、PowerShell 等具備破壞能力的合法工具，應導入特權帳號管理（PAM）與嚴格的執行政策。

建立多重異地備份與離線備援演練 系統資料應具備「不可變備份」（Immutable Backups），並定期演練如何在網路全斷的環境下維持關鍵運作。

結論

羅馬尼亞水務局事件再次敲響了警鐘：資安不僅是數位世界的戰爭，更是實體生存的挑戰。面對濫用系統內建功能的攻擊趨勢，防禦邏輯必須與時俱進，從單純的「阻擋惡意軟體」進化為「識別異常管理意圖」，方能有效守護國家級水利資源的安全。