圖片來源:GARMIN
全球知名的GPS設備及穿戴裝置大廠Garmin(台灣國際航電)於2020/07/23傳出重大的資安勒索攻擊事件,所遭受的影響包括連署數日的產線中斷,以及多項主要的應用服務停擺,據傳駭客組織勒索金額高達1000萬美金;Garmin對此資安事件發生的第一時間並未對外證實,而是以公告聲明Garmin伺服器維修而造成系統中斷為由,但由於連日的服務停擺造成Garmin全球用戶大規模的影響,加上來自各界多個管道對於此波攻擊事件的資訊揭露而備受矚目,Garmin官方遲至7/28終於對外發布官方聲明證實遭受勒索攻擊。
證實遭俄羅斯駭客集團Evil Group所操控的WastedLocker勒索軟體攻擊
Garmin遭受勒索軟體攻擊的新聞為國內知名資訊媒體iThome最早掌握的獨家消息,根據目前已經揭露的資訊,Garmin是遭受俄羅斯駭客集團Evil Group所操控的WastedLocker勒索軟體攻擊,勒索高達1000萬美元(折合新台幣約3億元)的贖金;Garmin受害情況不僅企業內部IT系統和資料庫受攻擊而發生產線停工,並且也造成多項旗下的核心服務包括Garmin客服中心、地圖及軟體更新等系統中斷,股價於事件傳出時也受到影響下跌;由於Garmin是全球知名的GPS及穿戴裝置廠商,因此Garmin廣大用戶群也不免擔憂用戶的個人資料與隱私是否會受到此波攻擊的影響。
從國外資安網站Bleeping Computer的報導中也提出更詳細的訊息,不僅取得來自Garmin內部員工對於WastedLocker勒索攻擊事件的確認,並且也提供相關受駭主機的螢幕截圖,畫面中顯示已遭受加密文件名稱都可看到帶有「.garminwasted」的副檔名,而駭客發出的勒索贖金Email內容也同樣出現GARMIN字樣,顯見Garmin確實遭受到WastedLock勒索軟體加密的跡象。
新型的勒索軟體WastedLocker攻擊手法揭秘剖析
Garmin此次遭受的勒索攻擊軟體為WastedLocker,是由俄羅斯駭客集團Evil Group在背後操作,該駭客集團在過往與金融木馬Dridex及另一勒索軟體BitPaymer也有關聯。WastedLocker勒索軟體最早由英國資安研究公司NCC Group於今年5月發現,鎖定美國大型企業下手,至少已有30多家企業受害,其中包含多間財星500的大企業。
而提到本次攻擊的俄羅斯駭客集團Evil Group首領為原籍烏克蘭的俄羅斯駭客雅庫貝塔斯(Maksim Yakubets),自2009年開始從事駭客活動,並在全球散佈Dridex與Zeus這兩款針對金融而設計的惡意程式,其中的Zeus是一支非常著名的金融木馬惡意程式,從2007年到2014年之間共有超過30家銀行受到感染,影響包含3萬多名個人及企業,竊取高達4,700多萬美元,之後仍有多支變種惡意程式持續發燒)。
WastedLocker勒索軟體的滲透手法,主要是透過員工上網可能會瀏覽的合法網站,利用名為SocGholish的惡意框架植入,偽裝成軟體更新工具的方式。當駭客能夠存取受害企業的網路時,便會使用滲透測試工具Cobalt Strike並且搭配一連串的合法工具就地取材,進行竊取帳號密碼、提升權限,以及在企業網路裡橫向移動,最後將WastedLocker植入受害企業的電腦裡,把檔案加密。因此,一旦使用者瀏覽這些被駭的網站,整個企業可能因此成為勒索軟體的受害者;而滲透的管道中,已藉由至少150個被駭的合法網站散布,其中包括一般使用者會經常瀏覽的新聞網站。
WastedLocker勒索軟體的另一特別之處,為大量利用電腦內的合法工具,包括利用Powershell來下載啟動器、利用Windows內建的軟體授權工具SLUI.EXE來提升權限、利用WMIC.EXE作為遠端執行命令方式。而WastedLocker勒索軟體植入大量電腦的管道則是利用PsExec工具來執行,並且同時利用PsExec來癱瘓電腦內建的Microsoft Defender防毒系統運作。
除此之外,WastedLocker勒索軟體植入後,會搜尋此台受感染主機的任何儲存裝置,包括內建磁碟、外接隨身碟/硬碟、網路磁碟等,目的是減少受害者透過備份還原的機會;除非,備份檔案是保存於異地或接觸不到的區域,則企業可以進行系統重建與資料還原。
數聯資安專家建議資安應對策略
從WastedLocker勒索軟體的滲透手法來看,上網瀏覽是一個主要途徑,因此企業單位可透過上網管道的網路安全閘道先做防禦,最佳建議為次世代網路防火牆(Next Generation Firewall, NGFW),不僅可針對網站內容進行過濾(Content Filter)外,並能更準確的對於上網過程的應用層內容檢測與入侵防禦,以及啟用進階惡意軟體保護(Advanced Malware Protection),減少WastedLocker勒索軟體滲透進入企業的機率。但傳統的網路防火牆、防毒牆或IPS系統等裝置,並無法偵測與應對WastedLocker勒索軟體此類新型態的攻擊手法。
如上述WastedLocker勒索軟體在植入企業內部的電腦過程中,仍有多項的準備程序,雖然大量利用電腦內建的合法工具執行以達到「合法掩飾非法」,但這些作業行徑仍屬於「非常態的行為模式」,透過次世代端點安全防護系統則能夠更精準的偵測與分析這些非常態的行徑,提早反應以中斷或隔離,也能避免內部網路橫向擴散的機會。傳統防毒系統由於太倚重已知的病毒碼比對及通訊行為偵測,同樣無法發現WastedLocker勒索軟體此類新型態的攻擊手法。
由於WastedLocker勒索軟體在此次Garmin事件發生之前,已經有多家企業受駭,因此網路上早也出現教人如何解除被加密勒索的工具與網站,也有免費的檢測工具幫助發現WastedLocker勒索軟體。請注意!這些多數是利用受害者恐慌心態的另一種駭客攻擊管道,強烈建議您諮詢合格的資安服務商,尋求WastedLocker勒索軟體相關情資的訊息與建議。
此次Garmin遭駭事件影響與省思
自今年以來,國內已經陸續發生多起的製造業遭受勒索軟體攻擊事件,包括中油、台塑、力成半導體、盟立自動化等;而在國外也發生航太供應商VT SAA、日本汽車廠Honda (本田汽車)、印表機大廠Xerox (全錄)、ATM與POS製造商Diebold Nixdorf (迪多堡)等,可觀測的趨勢發現,駭客集團的狩獵目標已經逐漸轉向企業端,不僅僅是製造業領域而已,未來勢必針對營運損失影響性大的目標為勒索對象。
以Garmin受駭事件來看,Garmin不單只是製造業廠商,由於其產品特性為具備數位化、網路化、資訊化的GPS(全球定位系統)與穿戴裝置,當受駭的發聲時造成Garmin用戶的服務體驗受影響,甚至可能造成個人資料與隱私外洩的風險;換言之,未來的產業服務不免接入數位、網路、雲端,不論是軟體或硬體或服務皆有相同的資安威脅。
參考來源
