【2021資安大預測】趨勢4：勒索軟體攻擊｜讓受害者難堪成勒索的目標

論及2020年最常聽聞的網路攻擊型態，勒索軟體攻擊肯定榜上有名。幾乎每個星期都有大型企業或組織傳出受害的情況，而且，這些事故的過程，多半還伴隨著資料外洩的風險，駭客在加密檔案前備份，之後再以此要脅受害者，如果不付錢就將這些機密資料公開，或是在暗網販賣。這種有利可圖的情況，駭客食髓知味持續發動相關攻擊，很可能會在2021年延續。

但是，駭客發動勒索軟體攻擊不完全是為了錢，也可能帶有其他目的。例如，在攻擊的目的達成後以勒索軟體來破壞現場，讓受害企業恢復正常運作更加困難。

這樣的情況究竟在2020年有嚴重？根據北美資安險業者Coalition統計，美國上半年逾4成的資安險理賠，都與勒索軟體攻擊有關。該公司指出，美國2020年上半受理的理賠事故數量，僅約有2019年同期的8成，但損害的情況更加嚴重，在2020年第2季，平均一起攻擊事故的贖金高達33.8萬美元。

而勒索軟體攻擊的氾濫，也衍生出整個產業鏈，許多資安廠商曾在2017年到2018年的時候，提到的勒索軟體即服務（Ransomware-as-a-service，RaaS） ，也在這2年大行其道。根據威脅情報業者Intel 471指出，他們在2019年與2020年，看到有25個RaaS問世，而其中有17個是2020年才出現的服務。這種作案工具隨手可得的情況，也助長了勒索軟體攻擊的更加猖獗。

不只上述勒索軟體攻擊氾濫的態勢，造成的影響也相當值得關注。在2020年，德國有急診病人因駭客在9月攻擊醫院，被迫轉到30公里外的另一家醫院而延誤救治，成為因勒索軟體攻擊導致死亡的首例。乍看之下，2020年許多駭客鎖定大型企業、公部門下手，可能和個人沒有直接關係，但實際上，當中不少是關乎民生的關鍵基礎設施（CI），在這波疫情蔓延的情況下，首當其中的醫療院所，因受到相關攻擊而嚴重影響防疫工作，即使部分駭客組織宣稱抗疫期間不會對醫院出手，但鎖定醫院攻擊的情況可說是時有所聞。

可能是大家已經逐漸落實資料備份，相較於過往，駭客不再偏重藉由撕票檔案來恐嚇被害者，而是以外洩機密來要脅，企業光是單靠備份資料難以自保。

可能會出現更多脅迫手法

在2020年的勒索軟體攻擊中，透過公布資料來要脅受害者付錢，是最為普遍的做法。不過，駭客為了達成目的，在2020年底出現一些新的手段。

像是攻擊義大利酒莊Campari的駭客組織Ragnar Locker，在發動攻擊數日後，盜用音樂DJ人員的臉書帳號，以廣告的方式公開攻擊事件，意圖迫使這家酒莊付贖金。

無獨有偶，類似的索討手法並非是個案。資安公司Coveware發現，多個勒索軟體駭客組織，包括Conti、Ryuk，以及現在已經收手的Sekhmet及Maze等，透過客服中心打電話，藉由心理戰的方式，要受害者不要白費力氣自救，趕快聯繫駭客安排後續付款事宜，否則受害單位的網路，將會永無寧日。這些過往不曾出現的索討贖金手法，在2021年可能會更加頻繁。

再者，也有駭客針對攻擊目標是零售業，利用受害企業門市的收銀機來印出勒索訊息，造成更大的恐慌。例如，智利零售業龍頭Cencosud，於12月遭勒索軟體Egregor攻擊，不只門市張貼公告，表明無法使用自家信用卡付款或退貨，有資安人員錄下一段影片，內容是該集團一間門市的熱感應式列表機，在收銀機檔案被加密後，不斷印出勒索訊息。

由於濫用企業印表機發出恐嚇訊息或表達特定訴求的情況，曾在2017年與2018年，傳出多起事件，再加上2020年6月有資安研究人員指出，全球仍8萬臺印表機曝露於網際網路，而且當中有很大比例還會透露企業名稱。駭客是否會在2021年的勒索軟體攻擊裡，運用印表機施壓？有待日後觀察。

索討贖金並非發動攻擊唯一動機

除了上述以謀財為目的的勒索軟體攻擊，2020年也有疑似在國家級APT攻擊行動中，運用勒索軟體達成特定訴求的情況。例如，2020年5月爆發中油、台塑，以及高科技製造業力成等，一連串遭到勒索軟體攻擊的事件，震驚全臺灣，我國調查局與美國FBI聯手，追緝發動攻擊的駭客，並於9月16日公布攻擊者是中國的APT41。

不過，這波攻擊顯然與前述以獲利為目的攻擊有所不同，雖然，駭客在受害電腦上留下勒索訊息，每臺電腦的資料要支付3千美元來換回，但要贖金是這些駭客的真正目的嗎？在2020臺灣資安大會上，奧義智慧共同創辦人邱銘彰指出，從時間點來看，駭客潛伏在這些企業已有一段時間，特別選在5月20日總統就職日前夕發動攻擊，最主要的目的應該還是讓我國政府沒有面子。

從駭客發動勒索軟體攻擊的意圖來看，雖然多半還是以贖金為主要目的，但這種運用在APT攻擊的過程中，做為破壞受害單位IT環境的手段，在現今國際間局勢日益緊張的態勢下，2021年很可能還會再出現。