骇客以百万美元赎金分红利诱员工，意图在企业内部植入勒索软件

骇客发动勒索软件攻击的方式，除了借由网络攻击来入侵企业，也可能串通对公司的员工来进行，而无需对付企业对外的资安防护系统。例如，2020年8月美国司法部公布，他们破获有俄罗斯人企图买通特斯拉员工，在特斯拉内部植入勒索软件未果，该公司创办人暨首席执行官Elon Musk证实此事时，亦认为这是“计划完备的攻击行动”。

但除了这种锁定特定公司发动攻击的事故，也有来自尼日利亚的骇客直接寄送电子邮件，想要勾结可能对公司有怨言的员工来犯案。邮件安全公司Abnormal Security于8月12日，拦截一批寄送给该公司用户的可疑电子邮件，寄件者宣称是与DemonWare勒索软件相关人士，要求收信人参与他们的攻击计划，在公司内部植入勒索软件，假若勒索成功，收信人将能得到高额的报酬。

这些电子邮件的内容提及，收信人只要能够在任何公司里的主要Windows服务器中，安装并启动DemonWare，寄件者将会给予40%的报酬，相当于价值100万美元的比特币（代表可以收到的赎金为250万美元）。寄件者留下了电子邮件信箱与Telegram账号，供收信人与他们联系，行径可说是相当明目张胆。

一般来说，勒索软件骇客会透过电子邮件的管道入侵，手法通常是借由社交工程，寄送带有勒索软件等作案工具的钓鱼信件，诱使收件人开启附件档案，进而在公司网络环境感染勒索软件。但这种想要利诱员工来对公司攻击的方法，Abnormal Security认为相当值得留意，因为这样的手法可能难以透过资安防护系统拦截。

对此，研究人员谎称成一家虚构公司的员工，依据信里的联络资料，透过Telegram联系寄件人，经由与对方讨论长达5天的过程，而对攻击者有了进一步的了解。

当他们联络这名骇客并表明来意之后，对方很快就提供了勒索软件的下载连结──骇客将档案存放在Mega与WeTransfer云端硬盘里，档案名称是Walletconnect (1).exe。研究人员分析后，证实这个档案确实是勒索软件。

接下来，研究人员与骇客谈论这起“攻击行动”的其他细节。首先是赎金的部分，根据信件里提及收件者的报酬，攻击者打算勒索250万美元，但这名骇客很快就降低至25万美元。后来，研究人员向他宣称，所属公司的年营收是5千万美元，对方又再度调整赎金为12万美元。

在对话的过程中，骇客再三承诺研究人员不会被公司抓到，因为该勒索软件会加密受害电脑的所有资料，骇客宣称，若是服务器里存放了闭路电视（CCTV）的档案，也同样无法逃过被加密的命运。

而对于攻击行动的操作，骇客也指示研究人员，在执行完勒索软件之后必须删除，并且档案也要从资源回收筒清除。根据对话的内容，Abnormal Security认为，这名骇客希望员工能实体存取受害服务器，而且不甚了解数位鉴识与事件回应调查，可能采集到的证据。

勒索软件Demonware亦被称为Black Kingdom，其实是开放源代码的专案，档案可在GitHub取得，该专案发起人的动机，是要突显制作勒索软件的难度不高。但攻击者宣称，他是使用Python编译这款勒索软件。Abnormal Security认为档案是来自上述GitHub专案的原因，在于骇客提供的勒索讯息截图，几乎与该专案提供的截图一致，仅有少部分讯息有所调整。

根据左图骇客提供给研究人员的勒索讯息截图，以及右图DemonWare专案的勒索讯息截图范例，我们可以发现勒索讯息内容差不多，甚至连署名也一样，下方时间倒数的部分，也都是文字左右配置了警示标志。

究竟骇客如何得到攻击目标的联络资讯？这名骇客宣称是透过LinkedIn收集而得，原本打算对于所有高阶主管发动钓鱼邮件攻击，但在攻击没有成功之后，他改以向收件人合作发动勒索软件的名义，发送相关信件。

到底这名骇客的身份为何？Abnormal Security根据他们收集的情报，再加上这名骇客表明他就在尼日利亚，研究人员认为这起攻击行动出自尼日利亚的骇客。

疫情当前，民众普遍收入减少的情况下，骇客祭出百万美元利诱，难保不会有员工因此铤而走险出卖公司。而针对这样的情况，企业要如何强化相关防护，来因应这样的态势？可能就是接下来需要思考的问题。