駭客勒索美國地方政府之觀察
2019.09.06
瀏覽數
156
壹、新聞重點
2019年8月20日美國《全國公共廣播電台》(National Public Radio)報導,德州有22個城鎮的市政電腦系統在8月16日受到駭客攻擊,電腦中的檔案被勒索軟體以密碼鎖住無法開啟。影響所及,有的城鎮居民無法以信用卡支付水電費;有的城鎮則是無法在線上申請出生及死亡證明。發動此次攻擊的駭客總共要求250萬美元的贖金,若是這些城鎮不從,則不提供密碼解鎖。德州「資訊資源部」(Department of Information Resources)指出,此事件是由「單一威脅者」(single threat actor)所為,但未透露其身份。由於這次攻擊是2019年駭客勒索美國地方政府規模最大的一次,聯邦機關包括「聯邦調查局」(Federal Bureau of Investigation)、「國土安全部」(Department of Homeland Security)、以及「聯邦緊急管理署」(Federal Emergency Management Agency)皆協助調查。[1]
貳、安全意涵
一、駭客勒索美國各級政府行為日益嚴重
在2018至2019年,駭客使用勒索軟體攻擊美國州政府以及州以下的地方政府事件頻傳,較知名的案例包括喬治亞州首府亞特蘭大(Atlanta)、紐約州首府阿爾巴尼(Albany)、馬里蘭州巴爾的摩(Baltimore)、佛羅里達州湖城(Lake City)及李維拉灘(Riviera Beach)、以及北卡羅萊納州格林威爾(Greenville)。根據資安專家統計,自從2013年以來,駭客勒索美國各級政府事件至少有170起,但從2018年迄今合計就超過110起。另外,在2019年僅1至8月就有62起,已經超過2018年整年的54起。由此可見,此類犯罪行為在最近兩年急遽增加,規模也愈來愈大,成為當前美國地方政府非常棘手的問題。[2]
二、小型城鎮成為駭客主要目標
在過去的案例中,雖然駭客所勒索的城市規模有大有小,但大多數的攻擊目標都是小型城鎮,主要原因如下。首先,小型城鎮經費不足,市政府通常沒有資訊部門以及專職的技術人員,只能把資訊系統的建置與維護外包給廠商處理。可能會有數個城鎮都是同一家廠商的客戶,使用同一套系統及軟體,在此情況下,駭客只要找出該廠商系統的漏洞,一次就能攻擊好幾個城鎮,對駭客來說事半功倍,德州此次事件即是如此。[3]
其次,同樣是受限於經費,小型城鎮可能無力加強資安防護措施,例如建立備援系統或是資料定期備份,一旦被駭客侵入,系統無法在短期內恢復,市政停擺將對市府造成極大壓力,支付贖金的可能性較高。第三,駭客對地方政府的勒索攻擊多以釣魚郵件(phishing email)為之,此法仰賴市府員工開啟附件或是點擊郵件中的連結,若是員工的警覺性較高,此種攻擊手法難以得逞。而小型城鎮對於員工的資訊安全訓練較差,釣魚郵件攻擊的成功率較高。
參、趨勢研判
一、駭客勒索地方政府行為將難以杜絕
美國「聯邦調查局」曾經警告各級政府,支付贖金乃是不智之舉,因為駭客收到贖金之後未必會進行解密,甚至會鼓勵駭客繼續從事勒索行為。然而,仍有為數不少的地方政府願意支付贖金,因為尋求外界資安業者來處理問題與重建系統,一方面曠日廢時,二方面費用極高,以下兩則實例可供參考。巴爾的摩在2019年5月受到駭客攻擊,該市拒絕支付價值76萬美元的贖金(以比特幣支付,下同),決定以雇用包商、購買設備的方式將系統恢復,結果花了530萬美元。亞特蘭大在2018年3月遭受駭客攻擊後,也拒絕支付價值5萬1千元的贖金,結果該市至今為此事件花費高達720萬美元。[4]
對地方政府來說,是否支付贖金是一個兩難困境,重建系統可以在未來得到較好的資安防護,是一項值得進行的長期投資;但由於財源不足,小型城鎮很難拿出這筆經費,若是無法自力恢復系統,付錢給駭客往往成為不得不的選擇。也就是說,駭客只要攻擊成功,就有機會取得贖金,既然有利可圖,駭客的犯罪行為就不會停止。只要小型城鎮經費不足的情況沒有改善,駭客勒索美國地方政府的行為將難以杜絕。
二、資安險市場將持續擴張
除了支付贖金以外,小型城鎮還有另一個選擇,就是購買資安險,如果地方政府有保資安險,大部分的贖金將由保險公司支付。一個例子是佛羅里達州的湖城,該市在遭到攻擊後,試過各種方法皆徒勞無功,由於不願重建資料和系統,只好選擇支付贖金。該市有保資安險,因此在價值46萬美元的贖金中只需要出1萬美元,其餘45萬美元由保險公司支付。雖然保費一年可能要上萬美元,但與贖金相比,購買資安險仍然划算,因此,資安險在美國各級政府以及民間企業間成為熱門商品。根據估計,保險公司在2018年從資安險收到的保費超過20億美元,在駭客勒索行為難以杜絕的情況下,可以預期資安險的市場將會持續擴大。[5]
[1] Bobby Allyn, “22 Texas Towns Hit With Ransomware Attack In ‘New Front’ Of Cyberassault,” National Public Radio, August 20, 2019, https://n.pr/2zcDTP2; Maggie Miller, “Texas agency blames ‘single threat actor’ for recent ransomware attacks,” The Hill, August 20, 2019, https://bit.ly/2k7gc6O.
[2] Kathleen Foody, “Cyberattacks on Texas cities put other governments on guard,” Associated Press, August 23, 2019, https://www.apnews.com/c91919efcc964b748c5239c636be0a6e.
[3] Kate Fazzini, “Texas ransomware attacks show big gaps in cyber defenses – expect more like them,” CNBC, August 22, 2019, https://www.cnbc.com/2019/08/22/texas-ransomware-attacks-tell-the-us-cybersecurity-story.html.
[4] Manny Fernandez, David E. Sanger, and Marina Trahan Martinez, “Ransomware Attacks Are Testing Resolve of Cities Across America,” New York Times, August 22, 2019, https://tinyurl.com/yxu9h346; Frances Robles, “A City Paid a Hefty Ransom to Hackers. But Its Pains Are Far From Over,” New York Times, July 7, 2019, https://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html.
[5] Frances Robles, “A City Paid a Hefty Ransom to Hackers. But Its Pains Are Far From Over,” New York Times, July 7, 2019, https://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html; Kathleen Foody, “Cyberattacks on Texas cities put other governments on guard,” Associated Press, August 23, 2019, https://www.apnews.com/c91919efcc964b748c5239c636be0a6e.