Intel 471：光是這兩年就有25個勒索軟體即服務問世

就在武漢肺炎（COVID-19）疫情衝擊全球人們之際，資安業者Intel 471認為勒索軟體即服務（Ransomware-as-a-service，RaaS）已成為這波疫情中的疫情，在去年與今年總計有25個RaaS問世，而且它們發動攻擊的規模與所造成的災情幾乎無法確實統計。

Intel 471列出了在這兩年出現的25個RaaS，當中有17個是今年才問世，此外，在這些RaaS中，有11個屬於尚未接獲攻擊報告的服務，有9個被列為已出現攻擊案例且正快速成長中的服務，另外5個則是經常傳出災情的服務，涵蓋DopplePaymer、Egregor/Maze、Netwalker、REvil與Ryuk。

研究人員指出，勒索軟體的猖獗已經到了連非資安產業的人都認識它的程度了，而且就算是老練的資安專家，也很難評估勒索軟體的品質與它所能造成的傷害，儘管攻擊事件不斷地曝光，但有鑑於許多組織在遭受攻擊時選擇保持沈默，而使得資安產業難以估算攻擊數量或受害者的平均成本。

另一方面，駭客勢力正暗潮洶湧中，促使Intel 471公布近來的調查成果，以協助外界理解此一日益嚴重的攻擊行為。

在被Intel 471列為最兇猛的5個RaaS都是在去年就問世了，研究人員猜測DopplePaymer是由先前的BitPaymer集團所打造，它通常是在入侵受害者網路並下載了機密資料之後，採用手動部署；DopplePaymer攻擊了墨西哥電場Pemex，以及與美國聯邦政府合作的不同IT委外公司，最著名的事蹟則是在今年9月攻擊了德國杜塞道夫大學醫院（Duesseldorf University Hospital），導致一名來不及轉院的急診病患死亡。

其實駭客的攻擊目標並非德國杜塞道夫大學醫院，而是杜塞道夫大學，在駭客得知搞錯目標之後，傳送了解密金鑰予該院，只是為時已晚。

而Egregor則是由原來的Maze勒索軟體團隊所操縱，也可能與Sekhmet勒索軟體有關，其受害者包括Crytek、Ubisoft及Barnes & Noble。則Netwalker被視為最多產的SaaS之一，它利用無檔案感染技術繞過Windows的使用者帳號控制元件，買家可選擇只加密單一電腦或整個網路，估計至少有25起攻擊事件與Netwalker有關。

同樣在去年現身的REvil則是專找漏洞下手，像是甲骨文WebLogic伺服器的CVE-2019-2725漏洞，或是各種遠端桌面協定（RDP）漏洞，曾宣稱在開採過時的Citrix與Pulse Secure遠端存取軟體時，只花了3分鐘就滲透受害者的整個網路，不論是英國的金融服務供應商Travelex、美國的娛樂及媒體法律公司Grubman Shire Meiselas & Sacks，或者是德州的23個政府機構，都是REvil的受害者。

幾乎已被視為勒索軟體同義詞的Ryuk，也是最受攻擊者青睞的勒索軟體之一，它經常藉由Trickbot與Emotet感染受害組織，全球大約有幾百萬起的勒索軟體攻擊與Ryuk有關，有些安全研究人員認為Ryuk占了今年勒索軟體攻擊總數的1/3。值得注意的是，Ryuk今年的攻擊行動鎖定健康照護領域，最有名的例子之一是在美、英設有超過400家醫院的Universal Health Systems（UHS）。

此外，不管是這五大勒索集團，或是逐漸崛起的新興勒索集團，都開始於暗網中架設部落格，以公布受害者名單，或是公布自受害者網路所下載的機密資料。