施耐德

勒索軟體染指IoT 導致破壞性創新應用受挫?

  • DIGITIMES企劃
隨著非實名制的比特幣現身,於焉化解駭客亟欲匿蹤勒贖的難題,使得隱忍多年未流行的勒索軟體,形成不可收拾的爆發之勢。Bitcoin-gator

隨著近期新聞披露,大家都已知道,台灣在5月份遭勒索軟體感染的人次突破50萬,改寫歷史新高,堪稱是當前最令人懼怕的惡意活動;可曾想過,諸如勒索軟體等如此刁鑽詭譎的攻擊型態,一旦纏上了以物聯網為基礎的創新應用,會發生何等災難?

從來沒有一種惡意程式,能夠像勒索軟體一般,早在3年前即已被資安研究人員發現行蹤,但3年過去了,窮盡資安業界的努力,仍無法將之殲滅,反而隨著變種技術日益精進,讓其危害性愈來愈高,不僅個人受害,就連企業用戶也開始慘遭荼毒,而這群用戶的共同特徵,乃在於對業務停頓的容忍度都非常低,譬如醫院便是典型之例。

 點擊圖片放大觀看

展望今後,勒索軟體是否跳脫目前的電腦、伺服器等感染範圍,朝向物聯網裝置攻城掠地?多數資安業者預測很有可能發生。Bitcoin-gator

2016年第一季期間,位在美國洛杉磯的好萊塢長老教會醫療中心(HPMC),遭到勒索軟體Ransomware侵襲,其核心營運系統因而癱瘓超過一個星期,在這段期間,舉凡藥劑、電腦斷層掃瞄、實驗室作業乃至日常文書作業全都被迫處於離線狀態,導致醫護人員無從查閱病患病歷或檢驗結果,該院別無他法,只好選擇將病情較為危急的患者,轉送到其他醫院進行治療。

難承受營運中斷的企業  易被駭客盯上

正所謂人命關天,這起網路攻擊堪稱是有史以來,與人命存續之間距離最近的時刻。根據HPMC執行長所述,駭客勒贖金額為40個比特幣,依當時行情而論,等同於1.7萬美元,看似不高,但對於以救人為天職的醫療院所來說,其代價卻是無比沈重。

駭客之所以對HPMC出手,理由很簡單,就是看準了醫療資訊系統(HIS)不容中斷,因此院方通常會乖乖付錢了事;既然如此,駭客不可能只對HPMC單一醫院進行蹂躪,果不其然,位在德國的Arnsberg醫院、Lukas醫院,也相繼淪為勒索軟體的苦主,其後果也大同小異,同樣將無紙化流程回歸到紙本作業,僅能靠傳真來傳遞醫療資訊,同時導致許多已排定時程的手術活動,因而延期或轉診,更慘的是,受害醫院也無力接受新病患。

事實上,近期頗為猖獗的勒索軟體,不過是駭客經濟商業模式當中的一種活動;除此之外,看似固若金湯的SWIFT系統,竟然慘遭駭客攻破,使駭客得以堂而皇之取得合法操作憑證,據以建立與提交SWIFT訊息,進而冒充孟加拉央行,意圖自該行位在聯邦儲備銀行紐約分行帳戶轉出9.51億美元,儘管駭客因為若干筆誤而百密一疏,導致最終僅成功轉出8,100萬美元,但此筆金額對多數人而言,已算是窮其一生都未必賺得到的鉅款,可謂駭人聽聞。

可想而知,只要利之所趨,殺頭生意一定有人做,更何況網路犯罪還是一門行藏不易敗露、被殺頭機率不高的好生意!因此勤業眾信聯合會計師事務所副總經理溫紹群直言,網路詐騙年產值突破千億元,已躍居第三大黑色產業,道理便在於此。

黑色產業鏈  平均月入8萬美元

溫紹群引述國外調查報告指出,當前透過地下網路黑色產業鏈模式,駭客月入8萬美元已非難事。任何一名駭客,若以日平均點擊惡意連接用戶數20,000名為基礎,假設工具攻擊包的成功入侵機率為10%,受害者付費比率為0.5%,駭客向每名受害者索價300美元,則每天便可賺得3,000美元,一個月累積下來有90,000美元,再扣除攻擊工具的取得成本大約5,900元,則平均每月淨收入可望達到84,100元。綜上所述,便不難讓人理解,為何駭客對於勒索軟體的關愛程度與日俱增了。

說起勒索軟體,開始讓人聞之色變的時間,算是2013年,只因當年CryptoLocker蓬勃興起,堪稱是駭客首次憑勒索軟體嚐到甜頭的第一年。事實上,別以為勒索軟體是2013年才初來乍到的新攻擊,它在2006年即已誕生,已歷經10年光景。

不禁讓人納悶,既然勒索軟體是本小利大的惡意活動,且10年前已現身,駭客早該靠它大肆為惡才是,為何這10年來鮮少聽聞相關訊息?先回顧2006年發生什麼事,當年一支名為TROJ_CRYPZIP.A的變種惡意程式,會搜尋受害電腦硬碟當中某些副檔名的檔案,接著把檔案壓縮成帶有密碼保護的壓縮檔,同時也將原始檔案刪除,此時使用者如果沒有其他備份,又急於救回該檔案的話,即需遵照駭客指示,付出300美元,才能取得解開壓縮檔的密碼;但這個勒贖方式有其問題,只要是轉帳,都意謂駭客行蹤有跡可循,易造成事跡敗露,所以很難蔚為風潮。

那麼,為什麼勒索軟體可以在2013年開始重領風騷,而且益發讓人猝不及防?究其主要癥結,其實不在於透過加密程式綁架檔案、要求支付贖金的整套模式,出現了什麼了不起的突破,而在於駭客取得勒索贖金的管道,產生莫大進化,亦即出現了極具匿蹤效果的比特幣,對駭客而言,既然擁有比特幣如此安全又便利的金流管道,發動勒索軟體攻擊幾乎等同萬無一失,自然樂得靠它充實荷包。

勒索軟體的下一步極可能是IoT裝置

難道大家都對勒索軟體無計可施?其實不然,許多CIO異口同聲提出「備份」,彷彿備份就是對抗勒索軟體的唯一防禦措施。惟Palo Alto Networks技術顧問王信強說得好,面對網路威脅,應該用網路手法來解決,勒索軟體是網路威脅,但備份卻非網路手法,因此只想到用備份來減緩危害,是一種消極作為。

況且這般消極作為,或許在今天勉強可發揮一些作用,但隨著時間演進,成效將逐漸遞減;為什麼呢?因為展望下一步,勒索軟體的肆虐範圍,理當並不僅止於現今大家已經意識到的電腦、伺服器等終端設備,而是無所不在的IoT裝置,屆時如果用戶想靠備份力挽狂瀾,恐怕沒那麼容易。

換言之,任何一家新創公司,意欲透過其創意巧思搭配物聯網技術,孕育出大受市場歡迎的創新應用服務,也可能隨著勒索軟體的干擾,而讓整個大好江山變了調。試想,由於大量前端使用者的IoT裝置遭勒索軟體感染,被駭客要求支付贖金,否則便解不開某些關鍵功能;或是電池壽命隨時被消耗殆盡、墜入不堪用的深淵;想當然爾,對於該項創新應用服務的品牌信譽,必然是重大傷害。

那麼何以斷言勒索軟體的駭客,一定會朝向物聯網前進?理由也很簡單,首先,經過幾年下來在電腦或伺服器領域的試煉,發現這個攻擊模式不僅可行,而且頗具賺頭,若能朝向部位更為龐大的IoT裝置擴張基本盤,絕對稱得上是美事一樁;其次,駭客若想染指物聯網商機,則佈放勒索軟體的可行性,會比其他攻擊程式要來得大,此乃由於,雖說IoT設備的安全設計普遍弱於一般個人電腦,看似駭客極易攻城掠地,但箇中仍涉及一大盲點,意即IoT裝置的運算能力與儲存空間都相對狹小,而多數惡意軟體又不具迷你身軀,所以很難登堂入室,但勒索軟體不同,它僅含有一組加密演算法、幾條簡單命令,體態至為輕盈,欲潛進IoT裝置並非難事。

可喜的是,駭客不管發動DDoS攻擊、施放APT病毒,或植入勒索軟體,都絕非一蹴可幾,都必須歷經威脅殺傷鏈,依循偵查、誘餌、重新導向、利用弱點、植入檔案、回傳資料等六道步驟,最終才能得手;所以企業只要藉助威脅智能雲與安全閘道設備聯防,再搭配端點防護方案,隨時探查有無不合乎預設正常行為基線的活動癥候,就很有機會在駭客得手前,成功阻斷其攻擊。