Garmin(佳明)或已支付贖金,但可能惹上新的麻煩
一周前,健身追蹤器、智能手表和GPS產(chǎn)品制造商Garmin(佳明)公司遭受了WastedLocker勒索軟件的全面攻擊,主要產(chǎn)品和網(wǎng)站均癱瘓。WastedLocker背后的勒索軟件犯罪組織Evil Corp向Garmin公司索要1000萬美元的贖金。
昨日,據(jù)《天空新聞》(Sky News)報道,Garmin已與Evil Corp達成解密協(xié)議,以在WastedLocker勒索軟件攻擊后解鎖其文件并恢復業(yè)務。
報道透露,Garmin通過名為Arete IR的勒索軟件談判中間人,將贖金支付給了勒索軟件背后的幫派Evil Corp。
雖然支付贖金是恢復業(yè)務的無奈之舉,但是,如果Garmin確實支付了贖金,那么從法律角度來看,該公司可能陷入困境。
美國財政部去年12月對Evil Corp實施了制裁,該制裁規(guī)定“通常禁止美國人與Evil Corp或其任何個人進行交易”。
Evil Corp先前的攻擊行動還使用Dridex銀行木馬捕獲銀行憑證,然后通過在不知道受害者的銀行帳戶的情況下進行未經(jīng)授權的電子資金轉帳。然后,將這些被盜的資金接收到他們的銀行帳戶中,并將其轉移到海外。Dridex已將多家公司作為目標,使他們損失了數(shù)百萬美元。受害者包括兩家銀行,一個學區(qū),一家石油企業(yè),建筑材料供應公司等。
結果,美國當局懸賞500萬美元,以逮捕32歲的Evil Corp領導人Maksim V. Yakubets,他們被冠以“aqua”的名字。
Garmin拒絕評論有關贖金或數(shù)據(jù)解密的任何調查結果。
網(wǎng)絡安全意識培訓廠商KnowBe4的James McQuiggan在接受采訪時指出:“企業(yè)避免支付贖金的一種方法是評估其數(shù)據(jù)備份是否可用,以及是否被網(wǎng)絡犯罪分子破壞或刪除。在組織的網(wǎng)絡安全計劃中,制定數(shù)據(jù)備份策略至關重要。該策略需要包括定期計劃和測試備份,以確定其完整性。如果備份還原過程失敗,則可能由于停機而對組織的收入和聲譽造成額外風險。備份只是勒索軟件緩解計劃的一部分。大多數(shù)勒索軟件攻擊的重點攻擊矢量是網(wǎng)絡釣魚攻擊,以及脆弱且未打補丁的系統(tǒng)。”
WastedLocker為何如此“殘暴”?
卡巴斯基研究人員費多爾·辛尼辛(Fedor Sinitsyn)在最近的一篇文章中表示,今年上半年使用WastedLocker的人數(shù)有所增加。在技術分析中,研究人員強調了WastedLocker勒索軟件中的幾個值得注意的功能。
首先,它有一個命令行界面,攻擊者可以使用它來控制其操作方式。他們可以指定要定位的特定目錄,并確定優(yōu)先加密的文件集的優(yōu)先級。CLI還允許攻擊者加密指定網(wǎng)絡資源上的文件。
WastedLocker還具有繞過Windows計算機上用戶帳戶控制(UAC)的功能,UAC是一項安全檢查,旨在防止惡意特權升級。如果某個程序試圖提升特權以使其正常運行,則系統(tǒng)將彈窗詢問:“是否要允許以下程序對此計算機進行更改?”設備所有者或管理員可以選擇是或否,但系統(tǒng)會提示已分配了標準用戶訪問令牌的用戶輸入管理員憑據(jù)。
為了繞過UAC,Sinitsyn說,WastedLocker可以使用已知的旁路技術靜默地提升其特權。
研究人員稱,在加密方面,WastedLocker結合使用了AES和RSA算法的公開參考實現(xiàn),該算法稱為“rsaref”,在其他勒索軟件中也見到過這種情況。而且,它會應用每個加密文件原始內容的MD5哈希,該哈希將在解密過程中使用以確保該過程的正確性。
他解釋說:“對于每個處理的文件,WastedLocker都會生成一個唯一的256位密鑰和一個128位IV,這些密鑰將用于在CBC模式下使用AES-256算法對文件內容進行加密。”“原始內容的AES密鑰,IV和MD5哈希以及一些輔助信息均使用嵌入在木馬程序主體中的公共RSA密鑰進行加密。正在考慮的樣本包含一個4096位公共RSA密鑰。”
他補充說,RSA加密的結果是Base64編碼的,并保存在擴展名為.garminwasted_info的新文件中。通常,會為每個受害者的加密文件創(chuàng)建一個新的信息文件。
Sinitsyn說:“這是BitPaymer和DoppelPaymer特洛伊木馬以前使用的罕見方法。”“我們分析的這個WastedLocker樣本專門針對這種攻擊而設計和開發(fā)。它使用了強大且正確實施的“經(jīng)典”AES+RSA加密方案,因此,如果沒有攻擊者的私有RSA密鑰,則無法解密此樣本加密的文件。”
為了防止勒索軟件攻擊,用戶應該:
- 及時更新最新的操作系統(tǒng)和應用程序版本;
- 阻止通過互聯(lián)網(wǎng)訪問遠程桌面協(xié)議(RDP);
- 并盡快提高最終用戶對此類威脅的安全意識。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
