根據外國科技媒體 Bleeping Computer 的報導,一名黑客使用勒索軟體控制了聯網的智能情趣用品(男性貞操鎖),並要求受害者使用比特幣支付贖金 (0.02 BTC) 以解鎖貞操鎖。
"Your cock is mine now",安全研究人員 Smelly 獲得的對話截圖顯示黑客對受害者如此說到,Smelly 是收集惡意軟體樣本網站 vx-underground 的創始人。
據介紹,這款設備通過藍牙控制其鎖定/解鎖,藍牙通常由穿戴設備以外的其他人進行管理。去年10月,Pen Test Partners 研究人員公布了關於該設備的一個嚴重安全漏洞的細節,此漏洞允許遠程攻擊者控制任意聯網的該設備。他們發現,向任何 API 端點發出請求都不需要身份驗證,並且使用六位數的"friend code"(識別用戶的標記值)將返回有關該用戶的大量信息,例如位置、電話號碼和純文本密碼。
研究人員在其報告中寫道:「攻擊者只需幾天就可以滲入整個用戶資料庫,然後使用這些數據進行勒索攻擊或網絡釣魚。」
攻擊事件出現後,vx-underground 創始人拿到了勒索軟體的原始碼。根據安全研究人員 Ax Sharma 的分析,這款惡意軟體包含與設備 API 端點進行通信的代碼,可用於枚舉用戶信息,並向受害應用發送消息和添加好友。
Bleeping Computer 提到,攻擊開始後不久,大量受害者投訴稱他們無法控制這款設備,其中一些人甚至多次成為攻擊者的目標。部分用戶擔心設備被鎖定後,要移除它只能支付贖金或者進行物理破壞。但考慮到敏感區域,對於受害者而言,物理破壞設備絕不是一個可行的選擇。
事實上,受害者可以聯繫廠商要求他們遠程解鎖並重置設備,也有人表示只用螺絲刀就可以手動拆除設備。Bleeping Computer 了解到的消息稱,攻擊者表示沒人支付贖金。