指尖日報 理財科技組
資安世界再度拉響警報,一個名為「Payload」的勒索軟體組織在暗網上高調宣布,已成功入侵中東地區重要的醫療機構——巴林皇家醫院(Royal Bahrain Hospital),並竊取了大量敏感資料。根據多家國際資安媒體報導,駭客聲稱已掌握多達110GB的數據,並下達最後通牒,若院方不在3月23日之前支付贖金,所有病患的機密個資將被公諸於世。
這起事件最早由資安新聞網站Security Affairs於3月15日揭露。 駭客組織「Payload」為了證明其言不虛,已將巴林皇家醫院列名於其專屬的Tor洩密網站上,並公布了部分據稱是從醫院系統內部竊取的螢幕截圖作為「證據」。 消息一出,立刻引發了對醫療數據安全性的新一輪擔憂,因為受影響的可能不僅是巴林本國公民。
巴林皇家醫院成立於2011年,是波斯灣地區一家擁有70個床位的現代化綜合醫院,提供包含外科手術、婦產科到精密診斷在內的多元醫療服務。 根據SC Media報導,其服務範圍不僅限於巴林,更觸及鄰近的阿曼、卡達、沙烏地阿拉伯及阿拉伯聯合大公國等國的病患,使得這次資料外洩事件的潛在衝擊範圍大幅擴大。
「Payload」是一個相對新興的網路犯罪團體,但其作案手法卻相當純熟且殘酷。 他們採用的是所謂的「雙重勒索」策略,這已成為近年來勒索軟體攻擊的主流模式。駭客不僅會用惡意軟體將受害者的檔案系統加密,使其無法存取,更會在加密前先將所有重要資料複製竊取一份。
這種兩手策略讓受害者陷入天人交戰的困境。即使企業擁有完善的備份系統,能夠從加密災難中恢復營運,但駭客手中仍然握有從客戶、員工到營運機密等各種敏感資訊。若拒絕支付贖金,這些資料就會被公開在暗網上,對企業商譽、客戶信任乃至法律遵循造成毀滅性打擊。
根據Security Affairs的技術分析,「Payload」勒索軟體在技術上使用ChaCha20演算法進行檔案加密,並透過Curve25519進行金鑰交換,同時具備刪除系統磁碟區陰影複製(Shadow Copies)和停用資安軟體的功能,以增加救援難度。 資安專家普遍認為,該組織很可能以「勒索軟體即服務」(Ransomware-as-a-Service, RaaS)的模式運作。
RaaS模式意味著「Payload」的核心開發團隊負責維護勒索軟體本身,並將其「出租」給下游的合作夥伴(affiliates)去發動實際攻擊。這些合作夥伴負責尋找目標、滲透網路並部署勒索軟體,得手後的贖金再由雙方按比例分帳。這種模式大幅降低了網路犯罪的技術門檻,導致攻擊事件層出不窮。
從過往紀錄來看,「Payload」的攻擊目標多為房地產、物流等行業的中大型企業,且偏好在新興市場中尋找防禦相對薄弱的對象。 而此次將矛頭指向醫療院所,顯然是將威脅等級提升到了新的層次。醫院掌握的病歷、診斷影像、身分證明與保險資料,是個人隱私中最為核心的一環。
一旦這些資料外洩,後果不堪設想。輕則可能導致病患接到大量詐騙電話或垃圾郵件,重則其健康狀況可能被惡意利用於身份盜竊、保險詐欺,甚至遭到特定人士的勒索或歧視。對於一家以「信任」為基石的醫療機構而言,病患資料的失竊是對其信譽最沉重的打擊。
相關報導:securityaffairs.com、youtube.com
