目前為止，起亞汽車(chē)美國(guó)公司已經(jīng)公開(kāi)承認(rèn)了他們的汽車(chē)發(fā)生了 "長(zhǎng)時(shí)間的系統(tǒng)中斷"，勒索軟件團(tuán)伙DoppelPaymer聲稱(chēng)在攻擊中已經(jīng)加密鎖定了該公司的文件，并要求支付2000萬(wàn)美元的贖金。

支付2000萬(wàn)美元后起亞集團(tuán)將會(huì)獲得該勒索軟件的解密器，同時(shí)犯罪分子保證不會(huì)在該團(tuán)伙的泄密網(wǎng)站上公布企業(yè)的敏感數(shù)據(jù)。

[[382841]]

BleepingComputer在公布的關(guān)于DoppelPaymer攻擊的說(shuō)明中聲稱(chēng)，此次犯罪分子攻擊的目標(biāo)是位于加州的現(xiàn)代汽車(chē)美國(guó)公司，即起亞汽車(chē)美國(guó)公司的母公司。他解釋稱(chēng)，該公司有兩到三周的時(shí)間來(lái)支付404個(gè)比特幣，約為2000萬(wàn)美元。為了增加情況的緊迫感，犯罪分子還警告說(shuō)，延期支付可能會(huì)使贖金提高到3000萬(wàn)美元。

該公司在對(duì)媒體的一份聲明中聲稱(chēng)，此次惡意攻擊主要是影響了起亞的移動(dòng)應(yīng)用程序，如起亞Access with UVO Link、UVO eServices和Kia Connect，以及自助門(mén)戶(hù)和客戶(hù)支持系統(tǒng)，該公司還補(bǔ)充道："我們也看到了網(wǎng)上很多關(guān)于起亞受到'勒索軟件'攻擊的說(shuō)法。目前，我們可以確認(rèn)，沒(méi)有任何證據(jù)可以表明起亞或起亞的數(shù)據(jù)受到了'勒索軟件'的攻擊或者泄露。"

起亞告訴Threatpost，UVO應(yīng)用和車(chē)主入口應(yīng)用現(xiàn)在已經(jīng)可以運(yùn)行了，并補(bǔ)充說(shuō)，現(xiàn)在仍然沒(méi)有證據(jù)可以表明我們受到了勒索軟件的攻擊。

起亞客戶(hù)的遭遇

雖然起亞沒(méi)有對(duì)外披露系統(tǒng)中斷的具體原因，但起亞的客戶(hù)已經(jīng)注意到了這一事件，并在社交媒體上探討這個(gè)事情的原因。

周末，很多起亞客戶(hù)在社交媒體上發(fā)表帖子描述系統(tǒng)中斷的情形，特別是那些處于極端冬季天氣下的客戶(hù)，由于該應(yīng)用程序已經(jīng)被關(guān)閉，他們無(wú)法訪問(wèn)他們的汽車(chē)上的遠(yuǎn)程啟動(dòng)等功能。

Twitter用戶(hù)@big2mo在2月13日寫(xiě)道："在這一年中最冷的一天，我的#起亞#uvo應(yīng)用程序無(wú)法工作了，服務(wù)器也沒(méi)有響應(yīng)"。

另一位Twitter用戶(hù)@trustartz發(fā)布消息："在我真正需要它的時(shí)候，我的起亞應(yīng)用程序卻不能正常使用"。

在2月13日開(kāi)始出現(xiàn)第一批故障報(bào)告的幾天后，2月15日，起亞汽車(chē)的賬戶(hù)做出了道歉，但并沒(méi)有公布太多細(xì)節(jié)。

Nozomi Networks的聯(lián)合創(chuàng)始人Andrea Carcano表示，像這樣的勒索軟件攻擊現(xiàn)在變得非常常見(jiàn)，這個(gè)情況很像他曾經(jīng)見(jiàn)過(guò)的DopplePaymer攻擊。

Carcano說(shuō):"DoppelPaymer和其他黑客組織攻擊大型組織并破壞他們的關(guān)鍵IT業(yè)務(wù)時(shí)，他們所獲得的利潤(rùn)是非常大的。在這里，這些關(guān)鍵的業(yè)務(wù)包括 起亞的移動(dòng)應(yīng)用程序UVO Link、支付系統(tǒng)、車(chē)主門(mén)戶(hù)網(wǎng)站和內(nèi)部經(jīng)銷(xiāo)商網(wǎng)站等 。"

KnowBe4的Erich Kron解釋說(shuō)，DoppelPaymer這樣的犯罪組織經(jīng)常會(huì)給受害者造成巨大的痛苦，他們?cè)诶账鬈浖舴矫娣浅Ｓ薪?jīng)驗(yàn)。

Kron說(shuō)："在這種情況下，勒索軟件攻擊已經(jīng)影響了許多重要的IT系統(tǒng)，包括客戶(hù)接收新購(gòu)買(mǎi)的車(chē)輛所用的系統(tǒng)。這可能會(huì)給企業(yè)帶來(lái)相當(dāng)大的損失，同時(shí)會(huì)對(duì)現(xiàn)有的和潛在的客戶(hù)的聲譽(yù)造成損害。"

雙重勒索

除了影響關(guān)鍵業(yè)務(wù)之外，勒索軟件攻擊者還會(huì)給受害公司施加壓力，威脅說(shuō)如果他們不盡快支付，他們被盜的敏感數(shù)據(jù)可能會(huì)公布在一些知名的泄密網(wǎng)站上。這種策略被人們稱(chēng)為雙重勒索。

Kron解釋說(shuō)："和現(xiàn)代很多類(lèi)型的勒索軟件一樣，DoppelPaymer不僅會(huì)削弱企業(yè)開(kāi)展業(yè)務(wù)的能力，還會(huì)竊取他們敏感的數(shù)據(jù)，這個(gè)對(duì)于受害者會(huì)起到很好的威脅作用，讓他們盡早支付贖金。然而不幸的是，除了極少數(shù)的情況之外，一旦數(shù)據(jù)離開(kāi)了組織，那么數(shù)據(jù)泄露的事實(shí)就已經(jīng)成立了，企業(yè)將會(huì)因此受到監(jiān)管部門(mén)的罰款。即使數(shù)據(jù)沒(méi)有被公開(kāi)發(fā)布，最終也很可能會(huì)被出售或在暗網(wǎng)上進(jìn)行交易。"

Kron補(bǔ)充說(shuō)，黑客獲取數(shù)據(jù)的最常用的方式是進(jìn)行社會(huì)工程學(xué)攻擊，比如魚(yú)叉釣魚(yú)。

他說(shuō)："DoppelPaymer和其他大多數(shù)的勒索軟件一樣，通常會(huì)通過(guò)釣魚(yú)郵件來(lái)傳播，因此企業(yè)應(yīng)該使員工接受安全培訓(xùn)，以便于他們發(fā)現(xiàn)和報(bào)告那些用于進(jìn)行攻擊攻擊的可疑電子郵件，將安全培訓(xùn)和定期安排的網(wǎng)絡(luò)釣魚(yú)模擬測(cè)試結(jié)合起來(lái)，這對(duì)于讓員工做好防御這類(lèi)攻擊的準(zhǔn)備是非常有效的。"

除了加強(qiáng)對(duì)員工的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)外，comforte AG的產(chǎn)品經(jīng)理Trevor Morgan建議："像起亞這樣的企業(yè)在發(fā)生數(shù)據(jù)泄露之前就應(yīng)該采取防護(hù)措施來(lái)保護(hù)他們的敏感數(shù)據(jù)。"

Morgan說(shuō)："最具有諷刺意味的是，企業(yè)只需采取以數(shù)據(jù)為中心的方法來(lái)保護(hù)敏感信息，就可以避免出現(xiàn)泄露劫持?jǐn)?shù)據(jù)的情況。使用標(biāo)記化或格式化的方式來(lái)保存文件，企業(yè)就可以保護(hù)其數(shù)據(jù)生態(tài)系統(tǒng)中的任何敏感數(shù)據(jù)，這樣無(wú)論是誰(shuí)都無(wú)法破譯該文件。這些事件應(yīng)該對(duì)于其他企業(yè)有一個(gè)警醒作用，因?yàn)槿绻麤](méi)有適當(dāng)?shù)囊詳?shù)據(jù)為中心的保護(hù)方法，企業(yè)都有被勒索攻擊，數(shù)據(jù)泄露的風(fēng)險(xiǎn)。"

本文翻譯自：https://threatpost.com/kia-motors-ransomware-attack/164085/