兩天後,美國政府介入調查並發佈緊急命令,四州州長宣布進入緊急狀態,分析師開始預言將引發骨牌效應,亞特蘭大和田納西州最先倒,紐約挫勒等。最後,苦主殖民油管公司(Colonial Pipeline)以價值500萬美元(約1.4億台幣)的加密貨幣換回解鎖碼收場。
不只勒索油管公司,勒索軟體還癱瘓船運公司、電力公司、水公司、醫院、銀行、外匯交易公司、保險公司、學校、工廠。連台灣電子五哥都曾慘遭毒手,未上市的蘋果機密工程與設計圖遭竊。政府也淪陷了。根據資安公司Emsisoft,光是美國,去年就有超過100個聯邦、州和地方政府受「駭」。
什麼是勒索軟體?用比喻來說,勒索軟體就像是有人潛入你家中,然後換鎖,把你鎖在門外,付贖金才給你鑰匙,且不保證是否會從你家順手牽羊。
勒索軟體就像有人潛入家中換鎖,主人需要付贖金才還鑰匙。圖片來源:Shutterstock
儘管沒有正式的官方數據,2020年FBI接獲近2,500起報案,比前年成長66%。根據區塊鏈分析公司Chainalysis,同年至少付出3.5億美元(約98億台幣)的加密貨幣贖金,較前一年成長400%。
這還可能只是冰山一角,不管是因為擔心聲譽受損或其他理由,受害公司往往三緘其口。
美國網路安全公司Datto在2016年調查1,100位IT從業人員,91%表示有客戶在前一年遭勒索軟體攻擊,甚至一年內被勒索六次,但不到1/4報案。贖金往往僅為一小部分損失,失去的還有生產力、商譽、客戶忠誠度、信任、以及無論如何都無法恢復的數據。
偏愛勒索投保「數位保險」的公司
資安專家說勒索軟體已成產業,而其「商業模式」正在轉變。FBI的最新警告指出,勒索軟體的攻擊「變得更有針對性,更複雜,且代價更高。」
幾年前,勒索軟體主要針對小蝦米個人,付幾百美元贖金即可了事。現在,它們鎖定大魚,贖金高達千萬美元之譜。它們特別偏好投保「數位保險」(cyberinsurance)的大公司,因為贖金多由保險出,受害者更願意掏錢。
根據《美聯社》報導,勒索軟體成為去年數位保險最高的求償項目,保費飆漲50%至100%。五月初,法國數位保險巨頭AXA甚至表示,將不再提供勒索軟體的保險條款,但多國業務立刻遭到勒索軟體「修理」。
此外,它們還開發出新業務,包括威脅公開或兜售受害者的資料;如此一來,即使受害者能用備份來恢復系統,也收得到款。甚至,「勒索軟體即服務」——向「合作伙伴」提供軟體,事成後分成。
近年勒索軟體的攻擊變得更有針對性、且代價更高。圖片來源:Shutterstock
這次癱瘓油管的勒索軟體DarkSide就是這樣的一家公司,並設有客服、受害者熱線、媒體公關;今年3月推出更快加密的新勒索軟體時,不僅發出新聞稿,邀記者採訪,還保證24小時內快速回覆。
油管事件將其推上風尖浪口,對此DarkSide公開澄清:「我們的目的是賺錢,而非製造社會問題。」
它表示公司並無政治立場,並承諾「從今天起,我們將管理和審查合作伙伴欲加密的每一家公司,避免造成日後的社會動盪。」口氣意外地像是一家正派企業,為出問題的產品向社會大眾道歉,但實際上,勒索軟體鮮少被捕,更別提為其付出法律代價。(延伸閱讀|早9晚9、簡體字小抄⋯⋯資安公司3證據 揭中國駭客攻擊7家台灣半導體廠)
技術債與比特幣 推升勒索潮
這有遠因和近因。
遠因上,研究數位科技、AI和社會的北卡羅來納大學副教授土菲琪(Zeynep Tufekci)在《大西洋日報》撰文指出,網路,就是我們的資安漏洞;油管勒索事件,就是透過在家工作的工程師的桌面軟體入侵油管。
「網路原是為了連結早已互相信任的人們,如學術研究社群和軍事網絡,它從未擁有當今全球網路所需的強大安全性,隨著它的使用者從幾千人變成30億人,試圖加強安全性的作為又因成本、短視和利益衝突而受阻。」土菲琪解釋。
疊床架屋、縫縫補補的程式編寫更是歷史共業,充斥著數十年前匆匆寫就,並非為了現今規模而寫,甚至不是用於當初設計用途的程式,她稱之為「技術債」,「我們不亂動這些搖搖欲墜的東西,因為代價高昂且艱難,並可能導致其他的一切崩盤。」
「基於這些,居然沒有發生更多的駭客入侵和勒索軟體攻擊,著實令人驚訝,」她說,「我們的資安現況有如『用代碼在地震帶上構建起摩天大樓貧民窟』。」
網路使用者迅速成長,試圖加強網路安全性,卻又必須考慮成本。圖片來源:Unsplash
近因,是比特幣的崛起。
「在比特幣之前,這些網路勒索缺乏明顯的變現方法……全球金融部門受到相當嚴格的監管……雖然洗錢一直發生,如大毒梟,但那些大型、專業的操作也不容易。」她列出的守護神包括:SWIFT匯款系統、美國財政部和旗下的海外資產控制辦公室,以及美國紐約南區聯邦檢察官。
「比特幣改變了,或至少誘使它們嘗試改寫這套規則,」土菲琪說。許多外國駭客,透過難以追蹤的暗網和加密貨幣,進行非法交易,「這是他們的花園,而我們必須改變這點,」歐洲刑警組織歐洲網絡犯罪中心代理負責人魯伊斯(Fernando Ruiz)告訴《紐約時報》。
土菲琪說,這意味著政府必須考慮規範加密貨幣,以及更根本的問題:它們如何成為投機工具。此外,透過規範,確保程式更可靠,關鍵功能被隔離,並引入更多的外部審查程序。在那之前,我們只能希望勒索軟體別找上門。(延伸閱讀|窮地方政府最危險!今年至少40個美國公部門遭駭客勒索損失數千萬)
