我們都知道勒索軟件已經成為一個大問題——它攻擊商業和消費者，加密有價值的數據，并且要求交付巨額的贖金才安全恢復數據。

　　但是，至少我們可以這樣想來安慰自己：威脅僅限于加密電腦或web服務器上的數據，或者是鎖定用戶的系統，直到支付了贖金。

　　勒索軟件盯上IoT

　　近年來物聯網興起了，這意味著，將來我們所認為的電腦在不斷擴展。Critical Infrastructure Technology (ICIT)研究機構在一個報告中警告說，IoT設備正在成為勒索軟件的攻擊目標!

　　這個報告中使用了非常警醒的標題即“對抗勒索軟件閃電戰”，文中討論了各種各樣的加密式的勒索軟件家族，強調用戶要從多個層面防護類似的攻擊。

　　文章中最吸引我目光的地方是，它描述了未來潛在的威脅：

　　IoT設備為勒索軟件攻擊提供了潛在的持續增長的溫床，因為這些設備被設計為可以連接互聯網，而且存在各種形式的安全問題。傳統的惡意軟件可能會因為太大而不能在IoT設備上運行，但是勒索軟件，主要只包括幾條命令和一個加密算法，非常輕巧。

　　你覺得人們會付多少錢來移除心臟起搏器上的勒索軟件?這個場景并不遙遠，而且非常有致命性。許多醫療設備，比如心臟起搏器、胰島素泵、以及其它醫療系統，都開啟了互聯網或者藍牙功能。勒索軟件可以利用這個開放的連接來感染IoT設備。

　　我覺得ICIT提出的這個問題并非是遙不可及的。

　　IoT設備相當脆弱，也更加危險

　　我們從過去的經驗中知道大多數網絡罪犯并不會因為威脅生命而不安，與傳統的電腦相比，IoT設備安全性很弱，有硬編碼口令等漏洞，也許連簡單的更新機制都沒有，充斥著各種類型的漏洞。

　　我們已經發現，閉路電視攝像機和路由器等設備，成為了僵尸網絡的一部分，被用于發動DDoS攻擊。

　　所以，勒索軟件攻擊互聯網設備并沒有什么不同，黑客可以索取比特幣，作為恢復設備正常操作的條件。比如，勒索軟件可以攻擊醫療設備。

　　如果罪犯發現這很容易賺錢，他們當然會用勒索軟件攻擊IoT設備了。

　　報告引用了來自Cylance的Jon Miller的話，可以看到另一種攻擊IoT設備的形式，降低電池的壽命：

　　“在心臟起搏器上，即便一個加單的加密操作也可以減少電池的壽命，從幾十年降為幾年甚至是幾個月，因為在設計時并沒有考慮支持這樣的操作。加密操作越耗費資源，情況就越糟糕”

　　任何發起IoT勒索攻擊的人都需要考慮一個問題，如何通知設備的擁有者交付他們要求的贖金。這在筆記本上很簡單，但是在心臟起搏器上就很有挑戰了，除非攻擊者設法獲取了，比如受害者的email地址。

　　將來，勒索軟件是否會像當前攻擊傳統的電腦系統一樣攻擊IoT設備，拭目以待吧!