一次勒索病毒攻擊,讓1500萬使用者“停跑”

騰訊安全發表於2020-07-31
握有勒索病毒的駭客,再次展示了他們驚人的破壞力。
7月23號晚上,越來越多Garmin(佳明)智慧手錶的使用者突然發現,自己的智慧手錶無法與手機上的配套APP“Garmin Connect”同步,APP本身也無法更新資料,就連之前的一些運動軌跡也無法檢視。當他們想要聯絡佳明官方時,卻發現佳明的呼叫中心同樣受到了影響,無論是電話、傳送電子郵件還是在網頁上線上諮詢,都無法正常執行。

一次勒索病毒攻擊,讓1500萬使用者“停跑”

很多使用者迫不得已,只能跑到各種各樣的社交平臺網站上去敘述自己的遭遇順帶著投訴。Garmin官方在社交平臺上迅速回應:“官方正努力修復問題,就事件造成的不便致歉。”

如此大規模的產品業務下線,實屬罕見,怎麼看官方都不應該發生這樣的問題。很快,國外媒體ZDNet就揭露了事件的真相——佳明核心業務、呼叫中心的集體下線,其實是因為遭受了惡意勒索病毒攻擊。

除了穿戴產品之外,有媒體援引實際使用者反饋表示,佳明用於飛行的導航裝置使用也出現了問題。根據航空管制的要求,飛行員在起飛之前必須要在導航系統上下載最新的航空資料庫,但裝置顯示無法訪問。

根據ZDNet的報導,有內部員工透露此次遭遇的勒索病毒是“WastedLocker”,背後是一個來自俄羅斯的駭客團隊。坊間還傳聞,對方直接向佳明開出了1000萬美元的贖金,威脅要刪除伺服器上的所有資料。

參考國際諮詢機構Canalys今年6月對2020年第一季度全球可穿戴市場的評估,佳明在全球可穿戴市場的份額大概是7.3%,同期蘋果的市場份額為36.3%,整體使用者數量為7000萬,按照這個數字推算,此次Garmin遭受攻擊將影響至少1500萬使用者。


01佳明為何被勒索病毒扼住“命脈”

作為一個國際知名的GPS裝置品牌,佳明涉足智慧穿戴、海上導航、航空導航等多個領域,品牌和產品都主打“專業”。

以佳明最暢銷的智慧手錶為例,不僅在硬體層面提供了血氧濃度檢測、氣壓計等尋常穿戴裝置不具備的感測器之外,還將硬體與自家複雜的APP進行全方位繫結,透過APP實現進一步的資料處理和資訊展示。透過將智慧手錶所採集的資料傳輸到手機和雲端上,佳明能夠透過自身積累的經驗資料,對使用者的資料進行深入分析反饋,同時也能透過更大的顯示介面展示更多有用資訊。

很顯然,這種能夠在更加專業的產品硬體基礎上,應用雲端互通、大資料分析的能力,才是佳明最終“專業”標籤的體現,也是其產品的核心競爭力。

但這也不可避免地導致佳明的產品使用與雲端是否能正常執行息息相關。以目前佳明國內銷售量最大的某款跑步場景運動手錶為例,常用的多端資料互動工具就包含三款,分別對應手錶的基礎管理和應用、手錶的擴充應用商店、手錶和PC之間傳輸資料的工具。無論是那一個基礎工具,開啟的第一步,都是要直接登入到Garmin的賬戶。

面對勒索病毒的入侵,佳明的產業和業務一下子就遭遇了全面打擊。跟最嚴重的後果比起來,使用者服務的暫時停擺都不算什麼。有臺灣媒體援引知情人士資訊,佳明的臺灣工廠也已經停工,可見此次勒索病毒影響之深:佳明業務、售後、生產全面按下停止鍵,且短時間內拿不出短時替代的方案。

從目前已知的情況看,這次攻擊是一次駭客組織長期策劃、籌備的針對性攻擊。不由得讓人擔心一種最糟糕狀況的可能性:駭客組織很可能在實施勒索病毒攻擊之前,已經將佳明的使用者資料盜取,佳明想要恢復使用者的雲端資料,只能接受駭客組織的威脅。這些使用者資料絕對會涉及隱私,如果駭客洩露使用者資料並且對使用者造成實際損失,佳明很可能還需要吃官司,進而造成大得多的經濟損失。

事實上,越來越多的企業在智慧產品的打造上,正在參考佳明的路線——在多個應用端、平臺上共通資料,用雲端和大資料的優勢全面提升自家產品和服務的體驗。這些新技術、新架構的應用固然沒錯,可真正面對勒索病毒攻擊時,理論上可能出現核心的資料流被“綁架”,導致整套服務體系停擺的嚴重後果。

02愈演愈烈 勒索病毒的威脅日益加劇

就在上週,騰訊安全對外發布了《2020上半年勒索病毒報告》,報告中顯示,上半年全球大型企業遭受勒索病毒打擊的事件依然高頻發生。

一次勒索病毒攻擊,讓1500萬使用者“停跑”

據騰訊安全威脅情報大資料顯示,2020上半年中國境內勒索病毒依舊十分活躍,但總體感染情況較去年略有下降。從勒索病毒攻擊的地區分佈看,廣東、浙江、山東、河南、上海等經濟較發達地區成為重點目標,其它省份也遭受到不同程度攻擊。

從勒索病毒影響的行業看,資料價值較高的傳統企業、教育、醫療、政府機構遭受攻擊最為嚴重,網際網路、金融、能源行業緊隨其後,也遭到勒索病毒攻擊影響。

為了追求利益最大化,多數情況下,攻擊者在攻陷企業一臺網路資產之後,會利用該資產持續滲透攻陷更多資產,之後大量植入檔案加密模組,從而迫使企業在業務系統大面積癱瘓的情況下繳納贖金。

此外,為避免勒索失敗,攻擊者還採取了新的勒索策略。即,先竊取政企機構敏感資料,再對企業資產進行加密。如果企業拒絕繳納贖金解密,就在暗網“恥辱牆”頁面公開企業部分敏感資料進一步實施勒索,若企業依然拒絕繳納贖金,勒索團伙就會直接公開所竊取的企業敏感資料。

對於大型企業而言,資料洩露帶來的不止有經濟上的損失,還會嚴重影響企業形象,使自身失去公眾信任。因此,面對這種以洩露資料為手段的勒索攻擊,就算企業有資料備份,也只能被迫選擇支付贖金。


03安全前置不可鬆懈 全方位防禦“勒索病毒”

讓我們把目光再放回到佳明身上,此次安全事件暫無更多細節流出,因此沒有辦法從實際操作過多分析問題和如何修改。但毫無疑問,重創佳明的主因依舊是它自己。

佳明構建這樣一套以資料為產品、業務核心,全方位塑造“專業”標籤的產品理念,從一開始就決定了其需要較其他廠商更多的安全投入。至少從這次安全事件波及業務層面之廣、以及影響時間之長來看,都反映出佳明的安全建設存在許多問題。以多個系統同時中招為例,佳明自身的資料系統內部顯然沒有設定足夠隔離和許可權管理機制。

騰訊安全技術專家李鐵軍在接受筆者採訪時指出,目前企業網路安全存在兩個隱形關鍵點:

一是前置,企業在面對複雜的安全挑戰之時,有必要將安全儘可能早、儘可能深地結合到自身產品和業務中去,形成一個堅實的安全能力底座;

二是左移,企業應該以發展的視角來看待安全挑戰,像勒索病毒這樣高速成長的安全威脅,應儘可能多增加安全建設的投入。

具體面對勒索病毒這種威脅, 前置建設安全防禦能力是唯一方法。騰訊安全根據多年與勒索病毒戰鬥的經驗,總結了“三不三要”思路。

不上鉤:標題吸引人的未知郵件不要點開

不開啟:不隨便開啟電子郵件附件

不點選:不隨意點選電子郵件中附帶網址

要備份:重要資料要備份            

要確認:開啟電子郵件前確認發件人可信

要更新:系統補丁/安全軟體病毒庫保持實時更新

除了這個思路以外 ,企業應在內網安裝專業安全管理軟體;部署流量監控/阻斷類裝置/軟體;在網路邊界、路由器、防火牆上設定嚴格的訪問控制策略;使用內網強制密碼安全策略來避免使用簡單密碼等其他一批進階安全措施。

這些“基礎性”的安全建設往往最難實現和遵守,採用大公司更加先進的解決方法往往是小企業最好的選擇,例如騰訊安全可以根據業務節點攔截位置部署專業的安全產品,並根據騰訊安全威脅情報中心提供的情報資料配置各節點聯防聯動、統一協調管理,提升整體網路抗攻擊能力。

對於個人和企業使用者而言,騰訊電腦管家就可以解決絕大部分威脅,企業客戶也可以透過部署騰訊終端安全管理系統,去攔截查殺各類勒索病毒。也可以透過騰訊電腦管家,提前備份核心資料。

相關文章