富士康遭攻擊!黑客給出 21 天期限,索要 2.3 億贖金,否則文件都將...

富士康又被黑客盯上了。

近日，據外媒報導，富士康母公司鴻海集團的墨西哥工廠被勒索軟體「DoppelPaymer」攻擊。黑客竊取了部分未加密的文件，然後加密了這些文件。

黑客聲稱，除了解密鑰匙之外，沒有其他方式可以阻止這種攻擊，否則文件都將被損壞！

不過，富士康在今日回應稱：

其美洲工廠近日確實遭受網絡勒索病毒攻擊，目前其內部資安團隊已完成軟體以及作業系統安全性更新，同時提高了資安防護層級。本次攻擊，受影響廠區的網絡正逐步恢復正常中，對集團整體營運影響不大。

不交贖金，休想得到解密鑰匙

就在感恩節周末，富士康收到了一封來自黑客的勒索信。

這封信中表示：

貴公司的網絡已被黑客攻擊和加密。此頁面和您的解密密鑰將在您的系統被感染後 21 天內過期。共享此連結或電子郵件將導致不可逆地刪除解密密鑰。您的所有文件、備份和陰影副本都已加密，目前不可用。任何在沒有解密工具的情況下恢復文件的嘗試都會導致數據破壞。

最後，黑客還警告富士康：

不要重置/shutdow文件將被損壞；不要重命名/移動/刪除加密和自述文件；不要使用任何旨在恢復加密文件的恢復軟體。

同時，黑客還提出了交易條件，在勒索信中黑客提到，他們要求獲得 1804.0955 比特幣贖金，按今天的比特幣價格計算，約合 34,68.6 萬美元（2.3 億人民幣）。

並且，黑客還表示，已加密了約 1200 臺伺服器，竊取了 100 GB 的未加密文件，並刪除了 20TB 至 30 TB 的備份內容。

「我們加密的是 NA 部分，而不是整個富士康，它大約有 1200-1400 臺伺服器，而不是工作站。他們也有大約 75TB 的 misc 備份，我們摧毀了大約 20-30TB。」

黑客攻擊了什麼？

據外媒 BleepingComputer 報導，受到攻擊的是位於墨西哥華雷斯城的富士康 CTBG MX 生產設施。

該生產設施於 2005 年開業，被富士康用來將電子設備組裝和運輸到南美和北美的所有地區。

自攻擊以來，該生產設施的官網已癱瘓，目前向訪客顯示出錯信息。

根據黑客公布的洩露數據，洩漏的數據包括一般的業務文件和報告，但不包含任何財務信息或員工的個人詳細信息。

DoppelPaymer 殺傷力如何？

公開資料顯示，DoppelPaymer 是 BitPaymer 勒索軟體的一類新變種。同時，DoppelPaymer 至少有 8 種變體，它們逐漸擴展各自的特徵集。

根據安全研究人員的說法，此類惡意軟體首先會竊取數據，然後向受害者發送贖金勒索消息，而不是像傳統勒索軟體一樣就地加密鎖死數據。

2019 年中期以來一直活躍，今年 3 月美國精密零件製造商 Visser 遭此勒索軟體攻擊，意外洩漏特斯拉、波音、SpaceX 等公司有關的敏感文件。

DoppelPaymer 勒索軟體最早於 2019 年 6 月被發現，主要通過 RDP 暴力破解和垃圾郵件進行傳播，郵件附件中帶有一個自解壓文件，運行後釋放勒索軟體程序並執行。

自解壓文件運行後在 %Users% 目錄下創建 gratemin 文件夾，釋放名為 p1q135no. exe 的勒索軟體程序並執行，加密文件後，在原文件名後追加名為「.locked」的後綴，並在每個被加密文件的目錄中創建名為原文件名後追加「.readme2unlock.txt」格式的勒索信，勒索信中包含勒索說明、TOR 下載地址、支付地址、DATA 數據信息和郵箱聯繫方式等。

DoppelPaymer 勒索軟體變種使用「RSA+AES」算法加密文件，利用多線程快速加密文件，使用命令 ARP–A 以解析受害系統的地址解析協議（ARP）表，具體操作為刪除卷影副本、禁用修復、刪除本地計算機的備份目錄等。

目前被加密的文件在未得到密鑰前暫時無法解密。

看來，富士康這一次是免不了支付 3400 萬美元來堵上這個安全風險了。

不是第一次

但事實上，這已經不是富士康第一次被黑客入侵了。

2012 年 2 月，一個自稱"SwaggSec"的黑客組織在 Twitter 上宣稱，他們利用漏洞攻破全球最大電子配件製造商富士康的內部網絡，獲取了包括微軟、蘋果在內的大量富士康客戶的郵箱和密碼信息，他們還發表公開信稱此舉乃是對富士康不人道用工環境的懲罰。

SwaggSec 聲稱，他們抓住了一個富士康員工 IE 瀏覽器上未修復的漏洞，輕易繞過防火牆並以管理員身份入侵內網，他們在文檔中公布了大量富士康內部資料，包括可以登錄多個內網伺服器的用戶名密碼以及部分財務信息，這些伺服器目前已經被緊急關停。

2015 年，俄羅斯信息安全公司卡巴斯基實驗室研究員透露，代工企業富士康的電腦系統已被一夥以色列黑客入侵。

卡巴斯基方面稱：該組織已經將一款惡意軟體植入富士康工程研發的系統中，有證據顯示：該黑客是通過內部的權限通行證進入的，具體是通過防禦薄弱環節進入的；還是已經盜取了通行證？都是無關緊要的，主要的是入侵都是有目的的。

2016 年，富士康前員工通過內部安裝無線路由器的方式入侵蘋果公司系統，利用無線網橋，將無線信號橋接到廠外，橋接信號直接連入企業內網，大量刷新各類信息，大量複製、修改大量代碼，從中實現「刷機」9000 餘部，違法所得共計300 餘萬元。

看來，富士康還要繼續加強安全系統的防護。

至於如何提升對勒索病毒的防範能力，雷鋒網也詢問了網絡安全專家，他們認為要從以下六點做起：

1.及時修復系統漏洞，做好日常安全運維。

2.採用高強度密碼，杜絕弱口令，增加勒索病毒入侵難度。

3.定期備份重要資料，建議使用單獨的文件伺服器對備份文件進行隔離存儲。

4.加強安全配置提高安全基線。

5.提高員工安全意識，不要點擊來源不明的郵件，不要從不明網站下載軟體。

6.選擇技術能力強的殺毒軟體，以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。

雷鋒網雷鋒網雷鋒網

參考來源：

【1】https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

【2】https://www.leiphone.com/news/202004/GT95bMLFHp65WXjQ.html

【3】https://fii-na.com.mx/

【4】https://www.bleepingcomputer.com/news/security/pennsylvania-county-pays-500k-ransom-to-doppelpaymer-ransomware/

【5】https://www.antiy.cn/research/notice&report/frontier_tech/2019209.html