RansomHouse 稱入侵 Trellix取得原始碼，勒索組織鎖定資安廠為高價值目標

國際資安廠商 Trellix 於 5 月 1 日確認，其原始碼儲存庫（source code repository）遭到未授權存取。事隔數日，以資料勒索起家的 RansomHouse 駭客組織正式出面宣稱攻擊，並在暗網資料洩漏站台上公布截圖作為入侵證明。此事件不僅再次凸顯勒索組織手法持續演進，更揭示一個值得產業高度警惕的戰略趨勢：資安廠商本身，正在成為高價值攻擊目標。

RansomHouse：從資料勒索到雙重加密的演進軌跡

RansomHouse 於 2021 年底正式浮上檯面，初期以純粹的資料勒索（data extortion）模式運作，透過竊取企業機密資料、威脅公開於暗網站台為手段，向受害組織施壓索討贖金，未必部署加密勒索軟體。然而隨著時間推移，該組織的技術能力與攻擊工具鏈顯著擴充。

目前 RansomHouse 已將更進階的加密工具納入武器庫。其中，代號「Mario」的加密工具具備雙重加密（dual-encryption）能力，對目標檔案以兩組不同金鑰進行連續加密，大幅提高受害者自行解密的難度。另一工具「MrAgent」則專門針對 VMware ESXi 虛擬化平台，能夠自動化部署加密程式，使攻擊者得以在企業虛擬化基礎架構中快速橫向擴散，同時加密多台虛擬機器。

這種從「只偷不鎖」到「既偷又鎖」的轉型，標誌著 RansomHouse 已從相對初階的資料竊取操作，蛻變為具備完整雙重勒索（double extortion）能力的進階威脅組織。

近期高調攻擊：日本電商 Askul 與資安廠商 Trellix

在鎖定 Trellix 之前，RansomHouse 曾對日本知名電商 Askul Corporation 發動攻擊，竊取多達 74 萬筆客戶資料及其他敏感資訊，造成重大資料外洩事件。此案顯示該組織已有能力滲透跨國大型企業，並具備處理、利用海量敏感資料的運營能量。

而 Trellix 事件的衝擊則更具象徵意義。根據 RansomHouse 的說法，本次入侵發生於 4 月 17 日，攻擊過程中發生資料加密。Trellix 隨後於 5 月 1 日發表聲明確認事件，表示已即時委聘頂尖鑑識（forensic）專家展開調查，並已通報執法機關。

Trellix 在聲明中強調：「根據我們迄今的調查，尚未發現任何證據顯示我們的原始碼發布或散布流程受到影響，或原始碼已遭實際利用。」然而，事件後續發展仍在調查中，Trellix 亦表示將在掌握更多資訊後進一步說明。

針對 RansomHouse 公開宣稱攻擊一事，Trellix 表示已知悉相關聲明，並正積極調查中。目前 RansomHouse 釋出的入侵證明為設備管理系統的截圖，其真實性尚待獨立核實。

為何資安廠商成為高價值目標

Trellix 是一家在全球擁有逾 5.3 萬家客戶、遍及 185 個國家的國際資安廠商，客戶涵蓋全球財星百大（Fortune 100）企業。正是這樣的市場定位，使其原始碼成為攻擊者眼中的高度敏感資產。

資安廠商的原始碼具備獨特的戰略價值。對攻擊者而言，掌握資安產品的程式邏輯，意味著可能找到產品中的未知漏洞，進而將其武器化，對使用該產品的數萬家企業發動供應鏈攻擊。此外，原始碼亦可能揭示產品的偵測邏輯與規則，使攻擊者得以針對性地調整惡意程式，以規避偵測。

換言之，鎖定資安廠商，等同於以一次攻擊換取對其整個客戶生態系潛在的槓桿效果。這正是勒索組織戰略思維升級的核心體現：攻擊不再只為求財，更在於掌握具備後續利用價值的戰略資產。

對企業與資安從業人員的啟示

RansomHouse 鎖定 Trellix 的事件，為整體資安產業敲響警鐘。企業在評估資安解決方案供應商時，除產品功能外，應同步審視廠商自身的資安防護能力、原始碼管理機制，以及事件應變流程的成熟度。

對於現有 Trellix 客戶而言，當前應密切關注廠商後續調查結果，並評估相關產品的威脅情報更新是否正常運作。如廠商發布任何額外的安全建議或緊急更新，應列為優先處理事項。

RansomHouse 的持續演進，提醒資安社群：威脅組織的目標選擇愈趨精算，攻擊資安廠商的戰略邏輯清晰可辨。如何確保「保護者本身得到保護」，將是整個產業在未來必須正視的結構性挑戰。