【2021资安大预测】趋势10：制造业资安｜骇客锁定制造业发动目标式勒索和DDoS攻击，成为新常态

利用产业共通系统或平台的漏洞入侵企业的手法层出不穷，2020年台湾爆发多起锁定制造业的攻击，攻击手法除了威胁以勒索软件加密企业的系统和磁盘的目标式勒索攻击（Target Ransom）外，也有锁定制造业的目标式DDoS（Target DDoS）攻击，甚至有传出骇客发动DDoS攻击的目的，在于瘫痪制造业的供应链平台，对方可能认为，唯有威胁受害者将遭受到实际损失，受害企业才可能愿意支付赎金，而骇客锁定制造的攻击手法，不论是目标式勒索或者是目标式DDoS，即便到2021年仍不会消退。

目标式勒索攻击透过RDP等弱点，入侵企业并勒索高额赎金

利用勒索软件加密资料，然后威胁受害者支付赎金的手法，从WannaCry勒索软件之后，这种恐吓取财的手法一直没有消失，但不同的是，早期包括WannaCry在内的勒索软件，锁定对象是一般个人使用者，即便受害者是企业，通常也都是个人电脑端漏洞未修补造成。

但是，从去年5月起，石油公司、自动化设备业者、半导体封测业者、PCB业者，以及穿戴式大厂等，都爆发遭骇客以勒索软件加密企业资料，并提出高额赎金要求的受骇事件。

趋势科技全球核心技术部资深协理张裕敏表示，上述资安事件可以称之为目标式勒索攻击，若进一步分析骇客攻击手法，通常是利用网络、RDP（远端桌面协定），以及VPN（虚拟私有通道）的弱点，或者是利用钓鱼邮件的方式，入侵并潜伏在企业内部，主要是锁定AD目录服务服务器并在特定的时间点散布大量的勒索软件，目的在于加密AD服务器等重要的主机内容，骇客可以趁机跟企业勒索高额赎金，一旦企业不愿意支付赎金，这些骇客也会威胁要将企业资料公开在网络上，或者是将加密资料先备份一份后，等到企业因为没有备份资料导致无法复原相关资料时，骇客便可以趁机要求企业支付勒索赎金。他也发现，很多开发者常用的程式代管平台，例如GitHub、GitLab等，也都成为骇客储存从企业偷来资料的管道。

穿戴式大厂在7月传出遭到骇客加密并勒索高达3亿元赎金后，在11月9日也传出电脑组装业者遭到骇客组织DoppelPaymer勒索高额赎金，虽然该业者对外公开不是遭到勒索软件攻击，而是网络系统有问题，不过，区块链资安业者Xrex创办人黄耀文则是在11月19日观察到，上述骇客传出的区块链勒索钱包中，发现有人存入28.3颗的比特币（约50万美元），反洗钱业者CipherTrace也进行金流分析发现，这些存入的比特币是透过场外交易市场（Over the Counter，OTC）的方式购买，但无法确定该比特币是否为电脑组装业者支付赎金。

而根据安碁资讯技术副总黄琼莹的观察，他发现，有些骇客组织锁定台湾高科技业者，他们通常会找到有弱点的网站来突破，像是具有上传档案功能的网站则是被攻击大宗，而多数防毒软件几乎无法顺利侦测到这些上传档案网站的恶意Web Shell；其他常见的攻击标的，则有旧系统忘记下线、测试用主机没有适当防护，或忘记下线的不设防无主主机，也是骇客最爱锁定攻击的对象之一。

他继续指出，骇客借此入侵企业内部后，可以透过侧录密码或横向移动的方式，找到高权限使用者的账号密码，例如AD服务器的Administrator，甚至有机会控制单位最高权限的Domain Controller（DC）；当骇客顺利掌握该公司后，也会在企业内部安装VPN软件，留下未来回到企业内部的管道。一旦骇客顺利掌握受骇企业的高权限使用者，就可以发动地毯式攻击，不管是潜伏企业内部或控制企业重要的服务器，全都在骇客一念之间。“这样的攻击方式，即便到2021年，也都是很有效的攻击手法，不见消退。”黄琼莹说道。

骇客发动目标式DDoS，台湾业者曾遭8小时100Gbps流量攻击

2020年上半年，传出多家高科技制造业遭骇客以勒索软件加密，并要求高额赎金的资安事件，不过，在下半年有骇客组织威胁台湾的制造业者，若不支付赎金，将会发动DDoS攻击，主要攻击的标的除了这些公司的官网，也传出骇客锁定攻击更有价值的高科技业者的供应链下单平台，透过瘫痪这些系统，让高科技业者遭到损失后，更愿意支付赎金。

根据不具名消息来源指出，在中秋连假附近，9月26日有系统整合业者接到自称是Fancy Bear骇客组织的勒索信件，要求业者要支付10个比特币（约新台币300万元），否则一周后将再度发动DDoS攻击。 该公司随即遭到第一次DDoS攻击，但一周后的二度攻击没有发生。

在国庆连假期间的10月9日，也有系统整合业者遭到类似的DDoS勒索信件，要求支付20个比特币（约新台币600万元），同时间，也有主板业者收到同样的勒索信件；到了10月底，先前10月上旬接到勒索信件的系统整合业者，则遭到持续8小时、攻击流量高达100Gbps～105Gbps的DDoS攻击；11月初，也传出有零组件业者遭到二度DDoS攻击，但该次并没有收到勒索信件。

对于台湾制造业遭到的目标式DDoS攻击，黄琼莹指出，骇客都会先透过公开资讯，获得企业的联系窗口，如公关、人资、投资人联系窗口或客服等，寄送勒索邮件。基本上，攻击者都会先发动试打行动，以取信于受害企业。他表示，骇客试打流量大约是1Gbps，对于企业对外网络，已经会面临明显的停顿或中断状况；骇客也会透过互联网取得受攻击企业的AS Number（自治系统号码）作为攻打标的，这通常是企业辖下一个很大的网段。

他进一步说道，骇客试打后，都会宣称下一波正式攻击的火力会达到2Tbps到2.5Tbps规模，但实际上，安碁协防的客户有截获骇客试打过程的真实记录，但没有遇到真正的大规模攻击，而试打的攻击来源大部分来自俄罗斯与东欧（俄罗斯、白俄罗斯、乌兹别克、哈萨克），另有其他较少量攻击来自欧（英国、荷兰）、美、香港与台湾，其中台湾被利用的攻击来源是IP Camera。