标题:Garmin证实遭骇客勒索软件攻击 深入剖析全球服务大当机事件
内文:
事发数日后,Garmin终发布官方讯息证实遭俄罗斯骇客集团Evil Group所操控的WastedLo
cker勒索软件攻击造成全球服务停摆,数联资安专家针此次攻击事件摘要剖析并提出资安
对策建议。
全球知名的GPS设备及穿戴装置大厂Garmin(台湾国际航电)于2020/07/23传出重大的资
安勒索攻击事件,所遭受的影响包括连署数日的产线中断,以及多项主要的应用服务停摆
,据传骇客组织勒索金额高达1,000万美金;Garmin对此资安事件发生的第一时间并未对
外证实,而是以公告声明Garmin服务器维修而造成系统中断为由,但由于连日的服务停摆
造成Garmin全球用户大规模的影响,加上来自各界多个管道对于此波攻击事件的资讯揭露
而备受瞩目,Garmin官方迟至7/28终于对外发布官方声明证实遭受勒索攻击。
证实遭俄罗斯骇客集团Evil Group所操控的WastedLocker勒索软件攻击
根据目前已经揭露的资讯,Garmin是遭受俄罗斯骇客集团Evil Group所操控的WastedLock
er勒索软件攻击,勒索高达1,000万美元(折合新台币约3亿元)的赎金;Garmin受害情况
不仅企业内部IT系统和数据库受攻击而发生产线停工,并且也造成多项旗下的核心服务包
括Garmin客服中心、地图及软件更新等系统中断,股价于事件传出时也受到影响下跌;由
于Garmin是全球知名的GPS及穿戴装置厂商,因此Garmin广大用户群也不免担忧用户的个
人资料与隐私是否会受到此波攻击的影响。
国外资安网站Bleeping Computer的报导中也提出更详细的讯息,不仅取得来自Garmin内
部员工对于WastedLocker勒索攻击事件的确认,并且也提供相关受骇主机的萤幕截图,画
面中显示已遭受加密文件名称都可看到带有“.garminwasted”的副档名,而骇客发出的
勒索赎金Email内容也同样出现GARMIN字样,显见Garmin确实遭受到WastedLock勒索软件
加密的迹象。
新型的勒索软件WastedLocker攻击手法揭秘剖析
Garmin此次遭受的勒索攻击软件为WastedLocker,是由俄罗斯骇客集团Evil Group在背后
操作,该骇客集团在过往与金融木马Dridex及另一勒索软件BitPaymer也有关联。WastedL
ocker勒索软件最早由英国资安研究公司NCC Group于今年5月发现,锁定美国大型企业下
手,至少已有30多家企业受害,其中包含多间财星500的大企业。
而提到本次攻击的俄罗斯骇客集团Evil Group首领为原籍乌克兰的俄罗斯骇客雅库贝塔斯
(Maksim Yakubets),自2009年开始从事骇客活动,并在全球散布Dridex与Zeus这两款针
对金融而设计的恶意程式,其中的Zeus是一支非常著名的金融木马恶意程式,从2007年到
2014年之间共有超过30家银行受到感染,影响包含3万多名个人及企业,窃取高达4,700多
万美元,之后仍有多支变种恶意程式持续发烧。
WastedLocker勒索软件的渗透手法,主要是透过员工上网可能会浏览的合法网站,利用名
为SocGholish的恶意JavaScript框架植入,伪装成软件更新工具的方式。当骇客能够存取
受害企业的网络时,便会使用渗透测试工具Cobalt Strike并且搭配一连串的合法工具就
地取材,进行窃取帐号密码、提升权限,以及在企业网络里横向移动,最后将WastedLock
er植入受害企业的电脑里,把档案加密。因此,一旦使用者浏览这些被骇的网站,整个企
业可能因此成为勒索软件的受害者;而渗透的管道中,已借由至少150个被骇的合法网站
散布,其中包括一般使用者会经常浏览的新闻网站。
WastedLocker勒索软件的另一特别之处,为大量利用电脑内的合法工具,包括利用Powers
hell来下载启动器、利用Windows内建的软件授权工具SLUI.EXE来提升权限、利用WMIC.EX
E作为远端执行命令方式。而WastedLocker勒索软件植入大量电脑的管道则是利用PsExec
工具来执行,并且同时利用PsExec来瘫痪电脑内建的Microsoft Defender防毒系统运作。
除此之外,WastedLocker勒索软件植入后,会搜寻此台受感染主机的任何储存装置,包括
内建磁盘、外接随身碟/硬盘、网络磁盘等,目的是减少受害者透过备份还原的机会;除
非,备份档案是保存于异地或接触不到的区域,则企业可以进行系统重建与资料还原。
数联资安专家建议资安应对策略
一、网络安全防护
从WastedLocker勒索软件的渗透手法来看,上网浏览是一个主要途径,因此企业单位可透
过上网管道的网络安全闸道先做防御,最佳建议为次世代网络防火墙(Next Generation F
irewall, NGFW),不仅可针对网站内容进行过滤(Content Filter)外,并能更准确的对于
上网过程的应用层内容检测与入侵防御,以及启用进阶恶意软件保护(Advanced Malware
Protection),减少WastedLocker勒索软件渗透进入企业的机率。但传统的网络防火墙、
防毒墙或IPS系统等装置,并无法侦测与应对WastedLocker勒索软件此类新型态的攻击手
法。
二、端点安全防护
如上述WastedLocker勒索软件在植入企业内部的电脑过程中,仍有多项的准备程序,虽然
大量利用电脑内建的合法工具执行以达到“合法掩饰非法”,但这些作业行径仍属于“非
常态的行为模式”,透过次世代端点安全防护系统则能够更精准的侦测与分析这些非常态
的行径,提早反应以中断或隔离,也能避免内部网络横向扩散的机会。传统防毒系统由于
太倚重已知的病毒码比对及通讯行为侦测,同样无法发现WastedLocker勒索软件此类新型
态的攻击手法。
三、请咨询合格的资安专家
由于WastedLocker勒索软件在此次Garmin事件发生之前,已经有多家企业受骇,因此网络
上早也出现教人如何解除被加密勒索的工具与网站,也有免费的检测工具帮助发现Wasted
Locker勒索软件。请注意!这些多数是利用受害者恐慌心态的另一种骇客攻击管道,强烈
建议您咨询合格的资安服务商,寻求WastedLocker勒索软件相关情资的讯息与建议。
此次Garmin遭骇事件影响与省思
自今年以来,国内已经陆续发生多起的制造业遭受勒索软件攻击事件,包括中油、台塑、
力成半导体、盟立自动化等;而在国外也发生航太供应商VT SAA、日本汽车厂本田汽车(H
onda)、打印机大厂全录 (Xerox)、ATM与POS制造商迪多堡(Diebold Nixdorf)等。可观测
的趋势发现,骇客集团的狩猎目标已经逐渐转向企业端,不仅仅是制造业领域而已,未来
势必针对营运损失影响性大的目标为勒索对象。
以Garmin受骇事件来看,Garmin不单只是制造业厂商,由于其产品特性为具备数位化、网
路化、资讯化的GPS(全球定位系统)与穿戴装置,当受骇的发声时造成Garmin用户的服
务体验受影响,甚至可能造成个人资料与隐私外泄的风险;换言之,未来的产业服务不免
接入数位、网络、云端,不论是软件或硬件或服务皆有相同的资安威胁。
文章来源:
netmag.tw/2020/07/30/garmin证实遭骇客勒索软件攻击-深入剖析全球服务大当
原文作者:数联资安处长 黄继民