• 發布單位:TWCERT/CC
• 更新日期:2023-01-05
• 點閱次數:6261

資安廠商 Emsisoft 日前發表統計報告指出，2022 年全年，美國全境有多達 200 個以上各種公用事業單位遭到勒贖攻擊，被攻擊的公用事業對象包括各級地方政府、大專院校等各級學校、醫療機構等單位。

據 Emsisoft 整理自公開資料所得到結果指出，去年一年美國境內共有 105 個郡縣級政府單位、44 所大專院校、45 所其他學校校區與 24 所醫療保健機構，曾經遭到規模不等的勒贖攻擊。

Emsisoft 指出，該報告的資料來源包括各種資安通報、駭侵攻擊調查報告、暗網流出資訊、第三方提供的情報等等。

統計報告也指出，約有一半左右的攻擊事件，受駭單位所屬資料遭到竊取。

若與 2021 年相比，各級地方政府遭到勒贖攻擊的件數，由 77 起成長到 105 起；但 2020 年則發生了 113 起。

Emsisoft 也指出，2022 年一起發生在阿肯色州米勒郡（Miller）的勒贖攻擊事件，因為透過網路大量擴散，結果造成其他 55 個地方政府也遭到駭侵攻擊；而從已知資料中，僅有麻州昆西郡（Quincy）支付贖金，造成 50 萬美元財政損失。

在教育機構方面，2022 年有 44 所美國大專院校和 45 所其他各級學校校區遭到勒贖攻擊，其中有三所學校支付贖金；支付最多者超過 40 萬美元。醫療方面，旗下擁有 140 間連鎖醫院的 CommonSpirit Health 有超過 62 萬名患者資料遭竊。

各公用事業由於服務人數重多，經常包含社會運作不可或缺的關鍵服務，因此建議應特別加強資安防護能力與人員資安訓練，以防勒贖攻擊造成財務與資料的雙重損失。