勒索軟體攻擊的黃金時代，誰是那些沒有面孔的殘酷駭客？

上週（6 月 24 日），印尼國家資料中心遭受網路攻擊，數百個政府辦公室遭到攻擊，並導致首都雅加達的機場長時間延誤，駭客開出 800 萬美元贖金的要求。根據朝日新聞的報導，駭客可能是透過一個叫做 Lockbit 3.0 的勒索軟體組織，他們劫持印尼國家資料中心並提供存取金鑰。這是印尼自 2017 年以來，最嚴重的勒索軟體攻擊。

毫無底線，愈來愈殘忍的攻擊

比印尼政府被駭再早一點，在北美市佔率超過 80% 的汽車經銷系統 (DMS) 領導品牌 CDK Global ，上個月中也被駭客劫持系統，根據《彭博社》的報導，（2024）6 月 22 日駭客具體要求上百萬美元的「贖金」， CDK Global 在分階段恢復服務同時，的確在評估付款。

北美汽車市場年營業額超過 1.2 兆美元（約 39 兆台幣），第二季末正好是銷售旺季，但超過 15,000 家汽車經銷商銷售因此全部停擺，服務維修、零件庫存、交貨全部當機。這是資安攻擊能帶來的最巨大商業災難，所有車主資料都存放在 CDK Global 的系統上，所有交易都由這個系統推動，CDK Global 的母公司 Brookfield Business Partners LP 在一天內暴跌 5.7% 的市值。

比 CDK Global 再早兩週，負責英國 NHS（國家公共醫療）驗血和輸血病理資料管理的廠商 Synnovis ，也遭到駭客攻擊劫持；根據《衛報》，來自俄羅斯的駭客勒索 5,000 萬美元（約 16 億台幣）的贖金； Synnovis 沒有支付贖金，隔天近 400GB 的資料就被駭客公布在暗網上銷售，其中包含 3 億個病患姓名、出生日期、NHS 編號和血液檢查描述，愛滋病、特殊血液疾病等隱私都被拿來銷售； Synnovis 和醫院、醫生之間的財務往來資料，也全曝光。

為英國國家醫療服務體系 NHS 提供驗血和輸血病理資料管理的軟體服務商 Synnovis ，上個月遭駭，駭客跟 Synnovis 勒索 5,000 萬美元；Synnovis 沒有支付贖金，隔天駭客在網路犯罪暗網上公布了近 400GB 的資料，包含 3 億個病患的所有隱私。（圖片來源：達志影像）

醫院成為駭客攻擊對象，傷害的不是產值，而是生命。NHS 公布資料，受影響的醫院總共取消了 1,134 個手術，包括癌症和移植手術，並延後 2,194 個門診預約。在資料公布後，Synnovis 並沒有拿回系統的控制權，這場災難還在持續中。

對醫院的駭客攻擊事件持續飆升，《連線》雜誌認為是因為 3 月（2024）發生在美國的醫療服務公司 Change Healthcare 勒索事件中，駭客組織 AlphV 透過比特幣交易拿到 2,200 美元（超過 7 億台幣）的贖金，打破醫療產業史上最高贖金紀錄，讓勒索駭客組織認為醫療產業可能更願意付錢。

Change Healthcare 有沒有「不付錢」」的選項？Change Healthcare 是全美最大醫療保險支付清算所，每年處理超過 150 億筆交易，佔三分之一的醫療保健索賠。這場攻擊，讓美國各地藥局（包括醫院內的藥局）陷入癱瘓，處方藥配送出現嚴重障礙，Change Healthcare 為了解決攸關人命的緊急需求，只好就範。然而，即使付款拿回系統控制權，患者資料最終還是出現在暗網上。

Change Healthcare 賠了夫人又折兵，卻束手無策，對執法機關而言，這也是一個巨大挫敗，去年美國聯邦調查局才剛宣布成功打擊 AlphV 並查封他們的暗網，結果，不到三個月，這個駭客組織就風光回歸，還成功拿到史上最高的軟體勒索鉅款，徹底羞辱調查局。

勒索軟體的攻擊從 2017 年 WannaCry 事件後，成為駭客最愛的攻擊手法。根據加密貨幣追蹤公司 Chainaanalysis 的年度網路犯罪報告，2023 年勒索軟體犯罪曝光的案例數量，比前一年增加 73%，成功獲得的總贖金則突破歷史新高達 11 億美元；為了增加成功率，這些駭客高調攻擊無法忍受系統被劫持的目標，包括醫院、學校和政府機構。

對醫院、關鍵基礎設施的攻擊，也讓這些過去只是造成商業價值減損的網路犯罪，開始變得更加殘忍且無情。

根據非營利新聞組織 Tradeoffs 的研究，依據有限的資料估計，2016 年至 2021 年間，勒索軟體劫持攻擊已導致至少 42 至 67 名患者因爲延誤治療而死亡。駭客愈來愈殘酷無情。2023 年，西雅圖一家癌症中心遭受攻擊，癌症患者收到私人電子郵件，威脅如果不付款就公開個人資訊。駭客在暗網上的談判內容無情而冷血，他們愈來愈願意為了幾百萬美元的暴利，而對遭駭的企業高階經理人，發出人身威脅，包含洩漏其個人隱私資訊、暗示將傷害其家人等。

今年五月，勒索軟體組織 LockBit 的主要負責人、俄羅斯公民霍羅舍夫（Khoroshev）、也被稱為 LockBitSupp，被英國、美國和澳洲聯合緝查行動查獲。2023 年所有勒索軟體外洩事件中，據調查，有近五分之一是由 LockBit 造成的。然而，在 LockBit 被查緝後不到一個月，另一個勒索軟體組織 AlphV 成功獲得2,200 美元史上最高贖金的事件。

專業分工，勒索軟體致富的黃金時代

勒索軟體攻擊的數量和成功率持續增加，勒索軟體攻擊的威脅從未如此之高，就像是進入勒索駭客的黃金時代一樣，成本低、風險小、處處是機會。令人驚訝的是，全球疫情剛好是這個黃金時代興起的一個時間切分點，原因可概略統整。

比特幣的興起

《經濟學人》訪問英國國家犯罪局 (NCA) 威爾·萊恩 (Will Lyne) 分析，勒索軟體曾經是一個「小眾網路犯罪問題」，一直到比特幣等加密貨幣的興起，勒索贖金的兌現和洗錢可行性一夕之間變得非常容易，勒索罪犯不需要先去竊取的銀行憑證，再購買高端商品到俄羅斯黑市販售，然後忍受 60% 左右的利潤損失。加密貨幣讓他們立即兌現全額贖金，而且不用擔心被調查單位追蹤。

COVID-19 的遺緒

全球疫情和大範圍隔離，讓遠距工作組織快速成長，這提供駭客一個全新的介入空間。透過網路釣魚模式，向缺乏訓練的遠距員工騙取資料，然後劫持企業軟體的資安攻擊形式，在 2020 年快速成長 30％。

生成式AI 與勒索軟體即服務 (RaaS) 快速成長

勒索軟體即服務出現，讓勒索攻擊成為一個有效且快速的「產業分工供應鏈」。

以俄羅斯為根據地的惡意軟體「公司」，架設與開發自己的伺服器等基礎設施和勒索工具；過去這些工具只是駭客自己使用，現在他們更上一層，以訂閱制「勒索軟體即服務 (RaaS) 」的概念，把這些基礎設施「出租」給規模較小的個體戶罪犯。生成式人工智慧服務的出現，也讓 RaaS 更為可行，訂閱服務變成完整解決方案，從惡意軟體工具，到網路釣魚電子郵件的專業文案等，一站式快速行程，幫助「客戶」不需要技術門檻就能上手開始做駭客。

惡意軟體線上市集出現

大約在 2020 疫情後蓬勃發展的惡意軟體黑市，是 RaaS 得以發展和擴散的另一個關鍵。

RaaS 賣家以一次性費用出售惡意軟體的存取權限，這些產品通常以「建構器（builders）」的形式銷售，購買者可以透過圖形使用者介面 (GUI) 配置打造一個勒索軟體，然後將惡意軟體轉譯成可以運作的二進位檔案。除了一次性費用外，一些 RaaS 方案還提供訂閱服務，為用戶提供「重建」服務，以隨時更新或偵測防毒軟體。這類惡意軟體黑市難以掃蕩，重生容易。RaaS 的模式，讓勒索軟體作業的進入門檻降低到近乎於零，獲得有效的惡意軟體包，只是進入銷售這些惡意軟體犯罪市場，以及購買服務的少量資金，有些訂閱服務提供方甚至以贖金分成抽潤的方式，提供進一步的追蹤客製化服務。

發動勒索軟體攻擊，變得比以往任何時候都更容易、更便宜，其結果就是如今看到的，勒索軟體犯罪愈來愈猖狂。

2021 年勒索軟體平均贖金要求為 17 萬美元，而犯罪能力較高的組織型駭客，平均贖金要求在 100 萬至 200 萬美元之間；到了 2024 年，800 萬贖金已經是底標，Change Healthcare 支付 2,200 萬美元的案例，讓更多人無所不用其極的前仆後繼，人人都想從中分一杯羹。

從經濟史的經驗來看，任何產業只要進入專業分工，就能降低成本並提升效率。

RaaS 模式讓勒索軟體犯罪的成本不斷減少，過去要大型犯罪組織才能做到的複雜工作，如今大約 4 至 5 人就能完成一起有規模的勒索犯案。同時，每一次攻擊帶來的傷害也愈來愈高，導致系統被攻擊後恢復運作所需的時間，愈來愈長。根據資安組織 Sophos 發表的最新年度報告，2024 年的攻擊事件中，超過三分之一（34%）的受害者需要超過一個月才能恢復系統運作，平均恢復成本 273 萬美元（約 8,800 萬台幣），是 2023 年的 1.5 倍。

過去三年，勒索軟體受害組織支付的贖金金額不斷上升，尤其是 2024 年支付的贖金中位數是 2023 年的5倍。RaaS 與 AI 科技的導入使得網路犯罪走向專業分工，勒索軟體致富的黃金時代吸引更多駭客加入。