標題:Garmin證實遭駭客勒索軟體攻擊 深入剖析全球服務大當機事件
內文:
事發數日後,Garmin終發佈官方訊息證實遭俄羅斯駭客集團Evil Group所操控的WastedLo
cker勒索軟體攻擊造成全球服務停擺,數聯資安專家針此次攻擊事件摘要剖析並提出資安
對策建議。
全球知名的GPS設備及穿戴裝置大廠Garmin(台灣國際航電)於2020/07/23傳出重大的資
安勒索攻擊事件,所遭受的影響包括連署數日的產線中斷,以及多項主要的應用服務停擺
,據傳駭客組織勒索金額高達1,000萬美金;Garmin對此資安事件發生的第一時間並未對
外證實,而是以公告聲明Garmin伺服器維修而造成系統中斷為由,但由於連日的服務停擺
造成Garmin全球用戶大規模的影響,加上來自各界多個管道對於此波攻擊事件的資訊揭露
而備受矚目,Garmin官方遲至7/28終於對外發布官方聲明證實遭受勒索攻擊。
證實遭俄羅斯駭客集團Evil Group所操控的WastedLocker勒索軟體攻擊
根據目前已經揭露的資訊,Garmin是遭受俄羅斯駭客集團Evil Group所操控的WastedLock
er勒索軟體攻擊,勒索高達1,000萬美元(折合新台幣約3億元)的贖金;Garmin受害情況
不僅企業內部IT系統和資料庫受攻擊而發生產線停工,並且也造成多項旗下的核心服務包
括Garmin客服中心、地圖及軟體更新等系統中斷,股價於事件傳出時也受到影響下跌;由
於Garmin是全球知名的GPS及穿戴裝置廠商,因此Garmin廣大用戶群也不免擔憂用戶的個
人資料與隱私是否會受到此波攻擊的影響。
國外資安網站Bleeping Computer的報導中也提出更詳細的訊息,不僅取得來自Garmin內
部員工對於WastedLocker勒索攻擊事件的確認,並且也提供相關受駭主機的螢幕截圖,畫
面中顯示已遭受加密文件名稱都可看到帶有「.garminwasted」的副檔名,而駭客發出的
勒索贖金Email內容也同樣出現GARMIN字樣,顯見Garmin確實遭受到WastedLock勒索軟體
加密的跡象。
新型的勒索軟體WastedLocker攻擊手法揭秘剖析
Garmin此次遭受的勒索攻擊軟體為WastedLocker,是由俄羅斯駭客集團Evil Group在背後
操作,該駭客集團在過往與金融木馬Dridex及另一勒索軟體BitPaymer也有關聯。WastedL
ocker勒索軟體最早由英國資安研究公司NCC Group於今年5月發現,鎖定美國大型企業下
手,至少已有30多家企業受害,其中包含多間財星500的大企業。
而提到本次攻擊的俄羅斯駭客集團Evil Group首領為原籍烏克蘭的俄羅斯駭客雅庫貝塔斯
(Maksim Yakubets),自2009年開始從事駭客活動,並在全球散佈Dridex與Zeus這兩款針
對金融而設計的惡意程式,其中的Zeus是一支非常著名的金融木馬惡意程式,從2007年到
2014年之間共有超過30家銀行受到感染,影響包含3萬多名個人及企業,竊取高達4,700多
萬美元,之後仍有多支變種惡意程式持續發燒。
WastedLocker勒索軟體的滲透手法,主要是透過員工上網可能會瀏覽的合法網站,利用名
為SocGholish的惡意JavaScript框架植入,偽裝成軟體更新工具的方式。當駭客能夠存取
受害企業的網路時,便會使用滲透測試工具Cobalt Strike並且搭配一連串的合法工具就
地取材,進行竊取帳號密碼、提升權限,以及在企業網路裡橫向移動,最後將WastedLock
er植入受害企業的電腦裡,把檔案加密。因此,一旦使用者瀏覽這些被駭的網站,整個企
業可能因此成為勒索軟體的受害者;而滲透的管道中,已藉由至少150個被駭的合法網站
散布,其中包括一般使用者會經常瀏覽的新聞網站。
WastedLocker勒索軟體的另一特別之處,為大量利用電腦內的合法工具,包括利用Powers
hell來下載啟動器、利用Windows內建的軟體授權工具SLUI.EXE來提升權限、利用WMIC.EX
E作為遠端執行命令方式。而WastedLocker勒索軟體植入大量電腦的管道則是利用PsExec
工具來執行,並且同時利用PsExec來癱瘓電腦內建的Microsoft Defender防毒系統運作。
除此之外,WastedLocker勒索軟體植入後,會搜尋此台受感染主機的任何儲存裝置,包括
內建磁碟、外接隨身碟/硬碟、網路磁碟等,目的是減少受害者透過備份還原的機會;除
非,備份檔案是保存於異地或接觸不到的區域,則企業可以進行系統重建與資料還原。
數聯資安專家建議資安應對策略
一、網路安全防護
從WastedLocker勒索軟體的滲透手法來看,上網瀏覽是一個主要途徑,因此企業單位可透
過上網管道的網路安全閘道先做防禦,最佳建議為次世代網路防火牆(Next Generation F
irewall, NGFW),不僅可針對網站內容進行過濾(Content Filter)外,並能更準確的對於
上網過程的應用層內容檢測與入侵防禦,以及啟用進階惡意軟體保護(Advanced Malware
Protection),減少WastedLocker勒索軟體滲透進入企業的機率。但傳統的網路防火牆、
防毒牆或IPS系統等裝置,並無法偵測與應對WastedLocker勒索軟體此類新型態的攻擊手
法。
二、端點安全防護
如上述WastedLocker勒索軟體在植入企業內部的電腦過程中,仍有多項的準備程序,雖然
大量利用電腦內建的合法工具執行以達到「合法掩飾非法」,但這些作業行徑仍屬於「非
常態的行為模式」,透過次世代端點安全防護系統則能夠更精準的偵測與分析這些非常態
的行徑,提早反應以中斷或隔離,也能避免內部網路橫向擴散的機會。傳統防毒系統由於
太倚重已知的病毒碼比對及通訊行為偵測,同樣無法發現WastedLocker勒索軟體此類新型
態的攻擊手法。
三、請諮詢合格的資安專家
由於WastedLocker勒索軟體在此次Garmin事件發生之前,已經有多家企業受駭,因此網路
上早也出現教人如何解除被加密勒索的工具與網站,也有免費的檢測工具幫助發現Wasted
Locker勒索軟體。請注意!這些多數是利用受害者恐慌心態的另一種駭客攻擊管道,強烈
建議您諮詢合格的資安服務商,尋求WastedLocker勒索軟體相關情資的訊息與建議。
此次Garmin遭駭事件影響與省思
自今年以來,國內已經陸續發生多起的製造業遭受勒索軟體攻擊事件,包括中油、台塑、
力成半導體、盟立自動化等;而在國外也發生航太供應商VT SAA、日本汽車廠本田汽車(H
onda)、印表機大廠全錄 (Xerox)、ATM與POS製造商迪多堡(Diebold Nixdorf)等。可觀測
的趨勢發現,駭客集團的狩獵目標已經逐漸轉向企業端,不僅僅是製造業領域而已,未來
勢必針對營運損失影響性大的目標為勒索對象。
以Garmin受駭事件來看,Garmin不單只是製造業廠商,由於其產品特性為具備數位化、網
路化、資訊化的GPS(全球定位系統)與穿戴裝置,當受駭的發聲時造成Garmin用戶的服
務體驗受影響,甚至可能造成個人資料與隱私外洩的風險;換言之,未來的產業服務不免
接入數位、網路、雲端,不論是軟體或硬體或服務皆有相同的資安威脅。
文章來源:
netmag.tw/2020/07/30/garmin證實遭駭客勒索軟體攻擊-深入剖析全球服務大當
原文作者:數聯資安處長 黃繼民