勒索軟體染指IoT 導致破壞性創新應用受挫？

隨著非實名制的比特幣現身，於焉化解駭客亟欲匿蹤勒贖的難題，使得隱忍多年未流行的勒索軟體，形成不可收拾的爆發之勢。Bitcoin-gator

隨著近期新聞披露，大家都已知道，台灣在5月份遭勒索軟體感染的人次突破50萬，改寫歷史新高，堪稱是當前最令人懼怕的惡意活動；可曾想過，諸如勒索軟體等如此刁鑽詭譎的攻擊型態，一旦纏上了以物聯網為基礎的創新應用，會發生何等災難？

從來沒有一種惡意程式，能夠像勒索軟體一般，早在3年前即已被資安研究人員發現行蹤，但3年過去了，窮盡資安業界的努力，仍無法將之殲滅，反而隨著變種技術日益精進，讓其危害性愈來愈高，不僅個人受害，就連企業用戶也開始慘遭荼毒，而這群用戶的共同特徵，乃在於對業務停頓的容忍度都非常低，譬如醫院便是典型之例。

2016年第一季期間，位在美國洛杉磯的好萊塢長老教會醫療中心(HPMC)，遭到勒索軟體Ransomware侵襲，其核心營運系統因而癱瘓超過一個星期，在這段期間，舉凡藥劑、電腦斷層掃瞄、實驗室作業乃至日常文書作業全都被迫處於離線狀態，導致醫護人員無從查閱病患病歷或檢驗結果，該院別無他法，只好選擇將病情較為危急的患者，轉送到其他醫院進行治療。

難承受營運中斷的企業  易被駭客盯上

正所謂人命關天，這起網路攻擊堪稱是有史以來，與人命存續之間距離最近的時刻。根據HPMC執行長所述，駭客勒贖金額為40個比特幣，依當時行情而論，等同於1.7萬美元，看似不高，但對於以救人為天職的醫療院所來說，其代價卻是無比沈重。

駭客之所以對HPMC出手，理由很簡單，就是看準了醫療資訊系統(HIS)不容中斷，因此院方通常會乖乖付錢了事；既然如此，駭客不可能只對HPMC單一醫院進行蹂躪，果不其然，位在德國的Arnsberg醫院、Lukas醫院，也相繼淪為勒索軟體的苦主，其後果也大同小異，同樣將無紙化流程回歸到紙本作業，僅能靠傳真來傳遞醫療資訊，同時導致許多已排定時程的手術活動，因而延期或轉診，更慘的是，受害醫院也無力接受新病患。

事實上，近期頗為猖獗的勒索軟體，不過是駭客經濟商業模式當中的一種活動；除此之外，看似固若金湯的SWIFT系統，竟然慘遭駭客攻破，使駭客得以堂而皇之取得合法操作憑證，據以建立與提交SWIFT訊息，進而冒充孟加拉央行，意圖自該行位在聯邦儲備銀行紐約分行帳戶轉出9.51億美元，儘管駭客因為若干筆誤而百密一疏，導致最終僅成功轉出8,100萬美元，但此筆金額對多數人而言，已算是窮其一生都未必賺得到的鉅款，可謂駭人聽聞。

可想而知，只要利之所趨，殺頭生意一定有人做，更何況網路犯罪還是一門行藏不易敗露、被殺頭機率不高的好生意！因此勤業眾信聯合會計師事務所副總經理溫紹群直言，網路詐騙年產值突破千億元，已躍居第三大黑色產業，道理便在於此。

黑色產業鏈  平均月入8萬美元

溫紹群引述國外調查報告指出，當前透過地下網路黑色產業鏈模式，駭客月入8萬美元已非難事。任何一名駭客，若以日平均點擊惡意連接用戶數20,000名為基礎，假設工具攻擊包的成功入侵機率為10%，受害者付費比率為0.5%，駭客向每名受害者索價300美元，則每天便可賺得3,000美元，一個月累積下來有90,000美元，再扣除攻擊工具的取得成本大約5,900元，則平均每月淨收入可望達到84,100元。綜上所述，便不難讓人理解，為何駭客對於勒索軟體的關愛程度與日俱增了。

說起勒索軟體，開始讓人聞之色變的時間，算是2013年，只因當年CryptoLocker蓬勃興起，堪稱是駭客首次憑勒索軟體嚐到甜頭的第一年。事實上，別以為勒索軟體是2013年才初來乍到的新攻擊，它在2006年即已誕生，已歷經10年光景。

不禁讓人納悶，既然勒索軟體是本小利大的惡意活動，且10年前已現身，駭客早該靠它大肆為惡才是，為何這10年來鮮少聽聞相關訊息？先回顧2006年發生什麼事，當年一支名為TROJ_CRYPZIP.A的變種惡意程式，會搜尋受害電腦硬碟當中某些副檔名的檔案，接著把檔案壓縮成帶有密碼保護的壓縮檔，同時也將原始檔案刪除，此時使用者如果沒有其他備份，又急於救回該檔案的話，即需遵照駭客指示，付出300美元，才能取得解開壓縮檔的密碼；但這個勒贖方式有其問題，只要是轉帳，都意謂駭客行蹤有跡可循，易造成事跡敗露，所以很難蔚為風潮。

那麼，為什麼勒索軟體可以在2013年開始重領風騷，而且益發讓人猝不及防？究其主要癥結，其實不在於透過加密程式綁架檔案、要求支付贖金的整套模式，出現了什麼了不起的突破，而在於駭客取得勒索贖金的管道，產生莫大進化，亦即出現了極具匿蹤效果的比特幣，對駭客而言，既然擁有比特幣如此安全又便利的金流管道，發動勒索軟體攻擊幾乎等同萬無一失，自然樂得靠它充實荷包。

勒索軟體的下一步極可能是IoT裝置

難道大家都對勒索軟體無計可施？其實不然，許多CIO異口同聲提出「備份」，彷彿備份就是對抗勒索軟體的唯一防禦措施。惟Palo Alto Networks技術顧問王信強說得好，面對網路威脅，應該用網路手法來解決，勒索軟體是網路威脅，但備份卻非網路手法，因此只想到用備份來減緩危害，是一種消極作為。

況且這般消極作為，或許在今天勉強可發揮一些作用，但隨著時間演進，成效將逐漸遞減；為什麼呢？因為展望下一步，勒索軟體的肆虐範圍，理當並不僅止於現今大家已經意識到的電腦、伺服器等終端設備，而是無所不在的IoT裝置，屆時如果用戶想靠備份力挽狂瀾，恐怕沒那麼容易。

換言之，任何一家新創公司，意欲透過其創意巧思搭配物聯網技術，孕育出大受市場歡迎的創新應用服務，也可能隨著勒索軟體的干擾，而讓整個大好江山變了調。試想，由於大量前端使用者的IoT裝置遭勒索軟體感染，被駭客要求支付贖金，否則便解不開某些關鍵功能；或是電池壽命隨時被消耗殆盡、墜入不堪用的深淵；想當然爾，對於該項創新應用服務的品牌信譽，必然是重大傷害。

那麼何以斷言勒索軟體的駭客，一定會朝向物聯網前進？理由也很簡單，首先，經過幾年下來在電腦或伺服器領域的試煉，發現這個攻擊模式不僅可行，而且頗具賺頭，若能朝向部位更為龐大的IoT裝置擴張基本盤，絕對稱得上是美事一樁；其次，駭客若想染指物聯網商機，則佈放勒索軟體的可行性，會比其他攻擊程式要來得大，此乃由於，雖說IoT設備的安全設計普遍弱於一般個人電腦，看似駭客極易攻城掠地，但箇中仍涉及一大盲點，意即IoT裝置的運算能力與儲存空間都相對狹小，而多數惡意軟體又不具迷你身軀，所以很難登堂入室，但勒索軟體不同，它僅含有一組加密演算法、幾條簡單命令，體態至為輕盈，欲潛進IoT裝置並非難事。

可喜的是，駭客不管發動DDoS攻擊、施放APT病毒，或植入勒索軟體，都絕非一蹴可幾，都必須歷經威脅殺傷鏈，依循偵查、誘餌、重新導向、利用弱點、植入檔案、回傳資料等六道步驟，最終才能得手；所以企業只要藉助威脅智能雲與安全閘道設備聯防，再搭配端點防護方案，隨時探查有無不合乎預設正常行為基線的活動癥候，就很有機會在駭客得手前，成功阻斷其攻擊。