【2021资安大预测】趋势4：勒索软件攻击｜让受害者难堪成勒索的目标

论及2020年最常听闻的网络攻击型态，勒索软件攻击肯定榜上有名。几乎每个星期都有大型企业或组织传出受害的情况，而且，这些事故的过程，多半还伴随着资料外泄的风险，骇客在加密档案前备份，之后再以此要胁受害者，如果不付钱就将这些机密资料公开，或是在暗网贩卖。这种有利可图的情况，骇客食髓知味持续发动相关攻击，很可能会在2021年延续。

但是，骇客发动勒索软件攻击不完全是为了钱，也可能带有其他目的。例如，在攻击的目的达成后以勒索软件来破坏现场，让受害企业恢复正常运作更加困难。

这样的情况究竟在2020年有严重？根据北美资安险业者Coalition统计，美国上半年逾4成的资安险理赔，都与勒索软件攻击有关。该公司指出，美国2020年上半受理的理赔事故数量，仅约有2019年同期的8成，但损害的情况更加严重，在2020年第2季，平均一起攻击事故的赎金高达33.8万美元。

而勒索软件攻击的泛滥，也衍生出整个产业链，许多资安厂商曾在2017年到2018年的时候，提到的勒索软件即服务（Ransomware-as-a-service，RaaS） ，也在这2年大行其道。根据威胁情报业者Intel 471指出，他们在2019年与2020年，看到有25个RaaS问世，而其中有17个是2020年才出现的服务。这种作案工具随手可得的情况，也助长了勒索软件攻击的更加猖獗。

不只上述勒索软件攻击泛滥的态势，造成的影响也相当值得关注。在2020年，德国有急诊病人因骇客在9月攻击医院，被迫转到30公里外的另一家医院而延误救治，成为因勒索软件攻击导致死亡的首例。乍看之下，2020年许多骇客锁定大型企业、公部门下手，可能和个人没有直接关系，但实际上，当中不少是关乎民生的关键基础设施（CI），在这波疫情蔓延的情况下，首当其中的医疗院所，因受到相关攻击而严重影响防疫工作，即使部分骇客组织宣称抗疫期间不会对医院出手，但锁定医院攻击的情况可说是时有所闻。

可能是大家已经逐渐落实资料备份，相较于过往，骇客不再偏重借由撕票档案来恐吓被害者，而是以外泄机密来要胁，企业光是单靠备份资料难以自保。

可能会出现更多胁迫手法

在2020年的勒索软件攻击中，透过公布资料来要胁受害者付钱，是最为普遍的做法。不过，骇客为了达成目的，在2020年底出现一些新的手段。

像是攻击意大利酒庄Campari的骇客组织Ragnar Locker，在发动攻击数日后，盗用音乐DJ人员的脸书账号，以广告的方式公开攻击事件，意图迫使这家酒庄付赎金。

无独有偶，类似的索讨手法并非是个案。资安公司Coveware发现，多个勒索软件骇客组织，包括Conti、Ryuk，以及现在已经收手的Sekhmet及Maze等，透过客服中心打电话，借由心理战的方式，要受害者不要白费力气自救，赶快联系骇客安排后续付款事宜，否则受害单位的网络，将会永无宁日。这些过往不曾出现的索讨赎金手法，在2021年可能会更加频繁。

再者，也有骇客针对攻击目标是零售业，利用受害企业门市的收银机来印出勒索讯息，造成更大的恐慌。例如，智利零售业龙头Cencosud，于12月遭勒索软件Egregor攻击，不只门市张贴公告，表明无法使用自家信用卡付款或退货，有资安人员录下一段影片，内容是该集团一间门市的热感应式列表机，在收银机档案被加密后，不断印出勒索讯息。

由于滥用企业打印机发出恐吓讯息或表达特定诉求的情况，曾在2017年与2018年，传出多起事件，再加上2020年6月有资安研究人员指出，全球仍8万台打印机曝露于互联网，而且当中有很大比例还会透露企业名称。骇客是否会在2021年的勒索软件攻击里，运用打印机施压？有待日后观察。

索讨赎金并非发动攻击唯一动机

除了上述以谋财为目的的勒索软件攻击，2020年也有疑似在国家级APT攻击行动中，运用勒索软件达成特定诉求的情况。例如，2020年5月爆发中油、台塑，以及高科技制造业力成等，一连串遭到勒索软件攻击的事件，震惊全台湾，我国调查局与美国FBI联手，追缉发动攻击的骇客，并于9月16日公布攻击者是中国的APT41。

不过，这波攻击显然与前述以获利为目的攻击有所不同，虽然，骇客在受害电脑上留下勒索讯息，每台电脑的资料要支付3千美元来换回，但要赎金是这些骇客的真正目的吗？在2020台湾资安大会上，奥义智慧共同创办人邱铭彰指出，从时间点来看，骇客潜伏在这些企业已有一段时间，特别选在5月20日总统就职日前夕发动攻击，最主要的目的应该还是让我国-没有面子。

从骇客发动勒索软件攻击的意图来看，虽然多半还是以赎金为主要目的，但这种运用在APT攻击的过程中，做为破坏受害单位IT环境的手段，在现今国际间局势日益紧张的态势下，2021年很可能还会再出现。