Garmin(佳明)或已支付贖金,但可能惹上新的麻煩
一周前,健身追蹤器、智能手表和GPS產品制造商Garmin(佳明)公司遭受了WastedLocker勒索軟件的全面攻擊,主要產品和網站均癱瘓。WastedLocker背后的勒索軟件犯罪組織Evil Corp向Garmin公司索要1000萬美元的贖金。
昨日,據《天空新聞》(Sky News)報道,Garmin已與Evil Corp達成解密協議,以在WastedLocker勒索軟件攻擊后解鎖其文件并恢復業務。
報道透露,Garmin通過名為Arete IR的勒索軟件談判中間人,將贖金支付給了勒索軟件背后的幫派Evil Corp。
雖然支付贖金是恢復業務的無奈之舉,但是,如果Garmin確實支付了贖金,那么從法律角度來看,該公司可能陷入困境。
美國財政部去年12月對Evil Corp實施了制裁,該制裁規定“通常禁止美國人與Evil Corp或其任何個人進行交易”。
Evil Corp先前的攻擊行動還使用Dridex銀行木馬捕獲銀行憑證,然后通過在不知道受害者的銀行帳戶的情況下進行未經授權的電子資金轉帳。然后,將這些被盜的資金接收到他們的銀行帳戶中,并將其轉移到海外。Dridex已將多家公司作為目標,使他們損失了數百萬美元。受害者包括兩家銀行,一個學區,一家石油企業,建筑材料供應公司等。
結果,美國當局懸賞500萬美元,以逮捕32歲的Evil Corp領導人Maksim V. Yakubets,他們被冠以“aqua”的名字。
Garmin拒絕評論有關贖金或數據解密的任何調查結果。
網絡安全意識培訓廠商KnowBe4的James McQuiggan在接受采訪時指出:“企業避免支付贖金的一種方法是評估其數據備份是否可用,以及是否被網絡犯罪分子破壞或刪除。在組織的網絡安全計劃中,制定數據備份策略至關重要。該策略需要包括定期計劃和測試備份,以確定其完整性。如果備份還原過程失敗,則可能由于停機而對組織的收入和聲譽造成額外風險。備份只是勒索軟件緩解計劃的一部分。大多數勒索軟件攻擊的重點攻擊矢量是網絡釣魚攻擊,以及脆弱且未打補丁的系統。”
WastedLocker為何如此“殘暴”?
卡巴斯基研究人員費多爾·辛尼辛(Fedor Sinitsyn)在最近的一篇文章中表示,今年上半年使用WastedLocker的人數有所增加。在技術分析中,研究人員強調了WastedLocker勒索軟件中的幾個值得注意的功能。
首先,它有一個命令行界面,攻擊者可以使用它來控制其操作方式。他們可以指定要定位的特定目錄,并確定優先加密的文件集的優先級。CLI還允許攻擊者加密指定網絡資源上的文件。
WastedLocker還具有繞過Windows計算機上用戶帳戶控制(UAC)的功能,UAC是一項安全檢查,旨在防止惡意特權升級。如果某個程序試圖提升特權以使其正常運行,則系統將彈窗詢問:“是否要允許以下程序對此計算機進行更改?”設備所有者或管理員可以選擇是或否,但系統會提示已分配了標準用戶訪問令牌的用戶輸入管理員憑據。
為了繞過UAC,Sinitsyn說,WastedLocker可以使用已知的旁路技術靜默地提升其特權。
研究人員稱,在加密方面,WastedLocker結合使用了AES和RSA算法的公開參考實現,該算法稱為“rsaref”,在其他勒索軟件中也見到過這種情況。而且,它會應用每個加密文件原始內容的MD5哈希,該哈希將在解密過程中使用以確保該過程的正確性。
他解釋說:“對于每個處理的文件,WastedLocker都會生成一個唯一的256位密鑰和一個128位IV,這些密鑰將用于在CBC模式下使用AES-256算法對文件內容進行加密。”“原始內容的AES密鑰,IV和MD5哈希以及一些輔助信息均使用嵌入在木馬程序主體中的公共RSA密鑰進行加密。正在考慮的樣本包含一個4096位公共RSA密鑰。”
他補充說,RSA加密的結果是Base64編碼的,并保存在擴展名為.garminwasted_info的新文件中。通常,會為每個受害者的加密文件創建一個新的信息文件。
Sinitsyn說:“這是BitPaymer和DoppelPaymer特洛伊木馬以前使用的罕見方法。”“我們分析的這個WastedLocker樣本專門針對這種攻擊而設計和開發。它使用了強大且正確實施的“經典”AES+RSA加密方案,因此,如果沒有攻擊者的私有RSA密鑰,則無法解密此樣本加密的文件。”
為了防止勒索軟件攻擊,用戶應該:
- 及時更新最新的操作系統和應用程序版本;
- 阻止通過互聯網訪問遠程桌面協議(RDP);
- 并盡快提高最終用戶對此類威脅的安全意識。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
