ATM製造商遭到勒索軟體攻擊

駭客發動勒索軟體的攻擊目標，也鎖定大型自動櫃員機（ATM）製造商！資安部落格Krebs on Security揭露，一起針對迪堡多富（Diebold Nixdorf）發動的勒索軟體攻擊事故，造成該公司部分營運受到影響，並指出發動攻擊的勒索軟體是ProLock。針對Kreb on Security的詢問，迪堡多富對於此事做出回應，本起事件只有影響合作廠商的網路，沒有波及自動提款機與客戶網路。我們也向他們的臺灣分公司進行確認，但截稿之前仍無法取得聯繫。

乍聽之下很多人對迪堡多富並不熟悉，但它售出的提款機在你我附近可能就有好幾臺。迪堡多富是一家提供金融業自動化資訊系統的公司，於2016年由迪堡和德利多富（Wincor-Nixdorf）兩家公司合併而成，總部位於美國俄亥俄州北坎頓市，全球有超過2.3萬名員工，宣稱每3臺自動櫃員機就有一臺是他們製造，在90多個國家賣出100萬臺以上的銷售點系統（POS）。在臺灣，有超過半數提款機是該公司出品，單車共享服務YouBike的自助服務機，也是由他們提供。

而在這幾年發生的資安事件中，於2016年7月第一銀行提款機盜領事件，遭到攻擊的設備就是德利多富公司的產品。在此事件之後，自動櫃員機吐鈔攻擊（ATM Jackpotting）不斷於全球各地發生，使得迪堡多富與另一家自動櫃員機製造商NCR於2018年1月，特別針對美國提出警告，表示於2017年10月出現在墨西哥的ATM吐鈔攻擊手法，與當時發生在美國的攻擊事件極為相似，這兩間公司認為，很可能是由相同駭客組織發動的攻擊。

自動櫃員機吐鈔攻擊（ATM Jackpotting）於最近幾年在全球各地接連發生，而使得駭客向美國提款機發動攻擊時，迪堡多富與NCR兩家自動櫃員機製造商都提出警告，要當地銀行小心防範。（圖片來源／趨勢科技）

根據Krebs on Security的報導，事件發生的經過，是在4月25日星期六的傍晚，迪堡多富的資安團隊發現，公司網路出現異常，懷疑是遭到勒索軟體攻擊，該團隊對於遭到惡意程式感染的系統，隨即中斷網路連線。

在Krebs on Security掌握的消息來源指出，超過100個迪堡多富客戶受到波及。對此，Krebs on Security也詢問該公司，得到的回覆，是此起事件並不影響自動櫃員機、客戶網路，或者是社會大眾，對於他們的業務也沒有造成實質影響。再者，迪堡多富的經營團隊親自聯繫客戶，要他們提高警覺並進行防範，同時，該公司也表示，他們沒有依據駭客的要求，支付贖金換回檔案。

受害公司是否付贖金給駭客？資安業者與新聞網站抱持不同看法

至於迪堡多富是受到那種勒索軟體的攻擊？根據Krebs on Security指出，迪堡多富是遭到ProLock勒索軟體攻擊，是一款較為少見的勒索軟體家族，駭客在最近幾個月陸續發動攻擊，並採用不同的名稱來混淆自己的身分。其中，最近一起與這款勒索軟體有關的事件，是今年3月發生在美國伊利諾伊州拉薩爾郡（LaSalle County）政府，當時該勒索軟體稱為PwndLocker，而在資安業者Emsisoft提供解密工具後，攻擊者在後續的行動中，就更換了勒索軟體的名字。

ProLock勒索軟體的前身名為PwndLocker，駭客用來攻擊美國伊利諾伊州拉薩爾郡（LaSalle County）政府，資安業者Emsisoft於3月6日表示他們能提供解密工具，但受害企業必須填寫申請表，並且上傳勒索軟體的可執行檔案，他們才能對症下藥，提供對應的解密工具。（圖片來源／Emsisoft）

根據Bleeping Computer新聞網站指出，濫用PwndLocker的駭客會根據受害企業規模，索討6位數以上的贖金，從175,000美元到660,000美元不等。Emisisoft技術長Fabian Wosar表示，假如迪堡多富真的沒有支付贖金，很有可能是因為駭客的ProLock解鎖工具無法解開大型檔案，使得該公司不能復原資料庫檔案所致。

Fabian Wosar會這麼認為的原因，是因為Emsisoft發現了上述解密器的臭蟲，並且提供對應的工具，讓受害者能在付出贖金之後，也就是取得駭客提供的解密金鑰之際，順利恢復檔案至正常狀態。

值得留意的是，由於大多數企業在周末期間，僅有少數的技數人員留守，像此次事件發生在周末發動攻擊的情況，也日益頻繁。基於相同的理由，駭客也選擇這種時段來鎖定提款機下手，進行鍵盤側錄（Skimming）攻擊。

再者，時下的駭客組織已經改變了運用勒索軟體方式，在加密檔案之前先竊取重要的資料，藉此要脅受害企業，要是不付贖金，就公布公司的機密資料，或是將其流入暗網兜售，通常駭客也會在自己的部落格裡，點名拒絕付錢的受害單位。不過，根據Bleeping Computer經營者Lawrence Abrams表示，此次駭客並未如上述的拉薩爾郡政府事件，對於迪堡多富沒有支付贖金發出公告，也沒有向他揭露已經取得受害單位的機敏資料內容，究竟迪堡多富有沒有向駭客付贖金？顯然有待進一步查證。