最近在美國德州達拉斯南部小城威爾默(Wilmer),你可能會看到這個景象:人們從圖書館借書時,不是刷書本條碼與借書證,而是館員以手抄方式紀錄;路邊警察開罰單時,不是輸入證件印出資料,而是用手寫的方式開單。
這個夏天,德州有22個城鎮遭「勒索軟體」攻擊而陷入網路黑暗時代,贖金高達上百萬美元。威爾默是其中之一。
勒索軟體捲土重來,政府成第三大受害者
過去,數位犯罪主要是指駭客進入金融系統或竊取個人資訊,以移轉資產。但勒索軟體不會破壞或銷毀資訊,只是將它上鎖,唯有支付贖金才能拿到一串複雜的解鎖碼,重新取得資料。
勒索軟體最早出現在2005年的俄羅斯,一度傳遍全球。2014年後雖然逐漸趨緩,但近年捲土重來,甚至有專業團隊全球「擄人勒索」,形成新「商業模式」。
《福布斯》(Forbes)報導,近年勒索案件總數雖減少,但犯罪集團「營收」未減;政府部門繼個人與企業之後,成為第三大受攻擊目標。
紐約時報統計,美國今年就有40起公部門受害案例。資安公司Barracuda Networks的估計更驚人:不含德州,一到七月至少50個洲及地方政府遭駭,公部門就佔所有受害者的三分之二。有大城受害,如德州巴爾的摩、阿爾巴尼、拉雷多等地;也有小鎮遭殃,如佛羅里達州的湖市(Lake City)。
專家發現,攻擊路徑是來自一個曾由法務部門認證、私人企業管理的溝通管道。這些地方政府共用同一個管道,駭客只要攻擊其中一個系統,就能癱瘓其他城市的系統,也容易解碼市政數據。
重建代價遠超過贖金,但付錢恐招更多攻擊
過去幾個月,美國喬治亞州首府亞特蘭大政府也遭勒索軟體攻擊,受害範圍包含公共安全部、法院系統、大型醫院、警政部門等。
在7月26日的攻擊中,公共安全部門辦公室的數位裝置,含桌電與筆電全被監控且重置、電子郵件系統無法登入、騎警無法使用巡邏車的電腦系統,開罰單時只能用手寫。
駭客要求5萬1千元比特幣的贖金,但亞特蘭大市拒絕支付。市長巴特(Keisha Lance Bottoms)表示這不僅是勒索,更是針對政府的攻擊,並將犯嫌指向一個叫「SamSam」的駭客組織。
後來市議會要求追加950萬美元(約新台幣2850萬元)預算,以恢復受衝擊的政府系統。
多數地方政府都拒絕支付贖金。BBC報導,有數千台電腦遭轄持、線上付款系統遭癱瘓的巴爾的摩市政府,也拒絕付贖金。駭客只要求約價值10萬美金的比特幣,但政府選擇手動處理數千筆交易,恢復上萬名員工電子郵件帳號,損失估計高達1800萬美金。
在本次受害者中,湖市是少數支付贖金的城鎮,共付出約46萬元比特幣。他們認為,重建系統的金額超過贖金,決定妥協。由於湖市已有「數位保險」(cyberinsurance),以便在遭勒索時仍有個保障,所以贖金多由保險支出。
但專家認為,花錢不見得能消災。福布斯指出,由於政府管理的資訊敏感,即使恢復了系統,也難恢復人們對政府的信任。他們不再確定水電用量或投票計票結果是否為真,嚴重衝擊國家安全。
此外,付錢也使政府成為駭客眼的肥羊,提高再次被勒索的風險,傷害地方經濟。「勒索軟體的商業模式在過去這幾年開始大幅進化,」國土安全局數位與基礎架構安全部主管克瑞伯(Chris Krebs)表示,「如果人們支付贖金,他們以後就會繼續付。」
這些金流將使駭客集團更加壯大,且精進他們的勒索軟體,人們也因此不斷付出代價,形成惡性循環。
財務窮困的地方政府最容易受攻擊
資安公司數位安全機構火眼(FirEye)金融犯罪分析經理古迪(Kimberly Goody)表示,今年處理的勒索軟體案例,已達2018年的兩倍。
國家安全局(National Security Agency)指出,這些多數攻擊來自西歐與伊朗,也有部分來自美國本土。
他們主要攻擊目標是財務困乏、緊縮的地方政府,因為他們通常沒有經費維護資訊安全,更無法在被攻擊後重建系統。國安局向各地方政府發出警告:「請備份好資料、系統影像與配置管理,且不要將資料連上網。」也提醒他們要經常更新軟體。
資安公司BitDam執行長巴拉克(Liron Barak)告訴BBC記者,複雜的組織架構,使政府容易成為駭客的目標,「地方政府與企業及個人的信件往來大多是一次性,政府員工不熟悉往來對象聯絡方式,更容易受攻擊。」
擔心暴露出系統弱點而招致更多攻擊,對於遭攻擊的細節,地方政府通常不願多談,但都開始著手應對。
部分地區,如加州、康乃狄克州、密西根州、德州與懷俄明州,正開始訂定有關勒索軟體的相關法律。不過因為其他地區的相關法律才制定沒幾年,沒有太多可參考的起訴與案例。
康乃狄克州司法院主席史塔夫史壯(Steve Stafstrom)表示,他們在2017年起已開始啟動立法作業,勒索軟體犯罪者將被判刑至少三年有期徒刑。
