企业面对锁定式黑客勒索，需提前做好信息安全防护

勒索软件出现「帮派化」现象

纵观现在勒索软件的散播渠道上，有些是透过恶意程序服务平台Malware as a Service（ MaaS）的傀儡网络（Botnet）上架。丛培侃解释说，这就类似有规模的帮派，各地有堂口帮忙。

常见的傀儡网络包括：今年1月才被抄底的Emotet以及常见的 Trickbot、Zeus和Dridex等 。而使用的攻击手法精良，类似APT渗透技能，像是： BloodHound、CobaltStrike、Empire 等。

被黑客锁定的具备支付能力的企业的必要原因

他也说，黑客集团要在恶意程序服务平台上架勒索软件，支付成本相对高，所以会锁定有支付能力的大型制造业、高科技制造业等。这些大型企业经常是财报发表后，就遭到黑客集团勒索。也因为黑客投注很多的成本，为了达到让企业支付赎金的目的而不择手段，所以，企业要跟黑客杀价赎金的空间就比较小。甚至还有难缠的无良黑客 ——即便拿到赎金，也不打算或是无法将档案解密。

目前常见的攻击流程可以分成三层式，第一层，也是整个勒索即服务的最上游。黑客组织透过傀儡网络散布勒索软件，例如Emotet或是 Trickbot等；第二层就是中游，则是勒索软件供应商，像是Conti 、Ryuk或是BazarLoaders等。

虽然上游之一的Emotet被执法单位抄底，但这些勒索软件供应商可以花时间， 再找其他的MaaS平台上架即可；第三层就是下游，也是这整个勒索即服务流程中的受黑企业。由上述的流程可以发现，黑客透过 Maa傀儡网络平台上架勒索软件。在每一个环节都必须支付不少成本。

因此，如果受黑企业不愿意支付赎金的话，黑客集团就无法付钱给上游和中游的供应经业者，他们也就会亏本，这也是为什么黑客集团会精准锁定营收好、好打、国际知名且加密档案被解密后还会愿意支付赎金的企业。

黑客组织为了获取勒索金将不择手段

以色列业者Clearsky追踪黑客集团Conti数位货币钱包位址的动向 ，他们发现，当黑客集团收到企业赎金后，数位货币的现金流会流向其他上游厂商。此外，为了确保企业一定会付赎金，除了加密档案向企业勒索外，也会在加密前先备份企业档案。当企业不愿意支付赎金解密档案的时候，黑客就会威胁将备份的数据外泄到暗网中，这也是企业最恐惧的部份。

丛培侃认为，黑客组织对企业的各种威吓手段，除了利用工具加密外，也包含不少恫吓受害者内心的攻防手段在内。此外也有不用恶意程序服务平台上架的勒索软件，他说，因为黑客集团不需要支付软件上架等其他太多成本，这些黑客集团就像是一般街头小混混，锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。

因为使用的手法粗糙、没有客制化病毒的能力，所以企业在跟这类黑客集团进行赎金谈判时，满通看起来相对容易，有比较大的杀价空间，但勒索软件本身的漏洞多，有时候企业被加密的档案，黑客集团不一定有办法解开。