一次勒索病毒攻擊 讓1500萬用戶「停跑」

2020-12-27 快科技

握有勒索病毒的黑客,再次展示了他們驚人的破壞力。

7月23號晚上,越來越多Garmin(佳明)智能手錶的用戶突然發現,自己的智能手錶無法與手機上的配套APP「Garmin Connect」同步,APP本身也無法更新數據,就連之前的一些運動軌跡也無法查看。當他們想要聯繫佳明官方時,卻發現佳明的呼叫中心同樣受到了影響,無論是電話、發送電子郵件還是在網頁上在線諮詢,都無法正常運行。

很多用戶迫不得已,只能跑到各種各樣的社交平臺網站上去敘述自己的遭遇順帶著投訴。Garmin官方在社交平臺上迅速回應:「官方正努力修復問題,就事件造成的不便致歉。」

如此大規模的產品業務下線,實屬罕見,怎麼看官方都不應該發生這樣的問題。很快,國外媒體ZDNet就揭露了事件的真相——佳明核心業務、呼叫中心的集體下線,其實是因為遭受了惡意勒索病毒攻擊。

除了穿戴產品之外,有媒體援引實際用戶反饋表示,佳明用於飛行的導航設備使用也出現了問題。根據航空管制的要求,飛行員在起飛之前必須要在導航系統上下載最新的航空資料庫,但設備顯示無法訪問。

根據ZDNet的報導,有內部員工透露此次遭遇的勒索病毒是「WastedLocker」,背後是一個來自俄羅斯的黑客團隊。坊間還傳聞,對方直接向佳明開出了1000萬美元的贖金,威脅要刪除伺服器上的所有數據。

參考國際諮詢機構Canalys今年6月對2020年第一季度全球可穿戴市場的評估,佳明在全球可穿戴市場的份額大概是7.3%,同期蘋果的市場份額為36.3%,整體用戶數量為7000萬,按照這個數字推算,此次Garmin遭受攻擊將影響至少1500萬用戶。

佳明為何被勒索病毒扼住「命脈」

作為一個國際知名的GPS設備品牌,佳明涉足智能穿戴、海上導航、航空導航等多個領域,品牌和產品都主打「專業」。

以佳明最暢銷的智能手錶為例,不僅在硬體層面提供了血氧濃度檢測、氣壓計等尋常穿戴設備不具備的傳感器之外,還將硬體與自家複雜的APP進行全方位綁定,通過APP實現進一步的數據處理和信息展示。通過將智能手錶所採集的數據傳輸到手機和雲端上,佳明能夠通過自身積累的經驗數據,對用戶的數據進行深入分析反饋,同時也能通過更大的顯示界面展示更多有用信息。

很顯然,這種能夠在更加專業的產品硬體基礎上,應用雲端互通、大數據分析的能力,才是佳明最終「專業」標籤的體現,也是其產品的核心競爭力。

但這也不可避免地導致佳明的產品使用與雲端是否能正常運行息息相關。以目前佳明國內銷售量最大的某款跑步場景運動手錶為例,常用的多端數據互動工具就包含三款,分別對應手錶的基礎管理和應用、手錶的拓展應用商店、手錶和PC之間傳輸數據的工具。無論是那一個基礎工具,打開的第一步,都是要直接登錄到Garmin的帳戶。

面對勒索病毒的入侵,佳明的產業和業務一下子就遭遇了全面打擊。跟最嚴重的後果比起來,用戶服務的暫時停擺都不算什麼。有臺灣媒體援引知情人士信息,佳明的臺灣工廠也已經停工,可見此次勒索病毒影響之深:佳明業務、售後、生產全面按下停止鍵,且短時間內拿不出短時替代的方案。

從目前已知的情況看,這次攻擊是一次黑客組織長期策劃、籌備的針對性攻擊。不由得讓人擔心一種最糟糕狀況的可能性:黑客組織很可能在實施勒索病毒攻擊之前,已經將佳明的用戶數據盜取,佳明想要恢復用戶的雲端數據,只能接受黑客組織的威脅。這些用戶數據絕對會涉及隱私,如果黑客洩露用戶數據並且對用戶造成實際損失,佳明很可能還需要吃官司,進而造成大得多的經濟損失。

事實上,越來越多的企業在智能產品的打造上,正在參考佳明的路線——在多個應用端、平臺上共通數據,用雲端和大數據的優勢全面提升自家產品和服務的體驗。這些新技術、新架構的應用固然沒錯,可真正面對勒索病毒攻擊時,理論上可能出現核心的數據流被「綁架」,導致整套服務體系停擺的嚴重後果。

愈演愈烈,勒索病毒的威脅日益加劇

就在上周,騰訊安全對外發布了《2020上半年勒索病毒報告》,報告中顯示,上半年全球大型企業遭受勒索病毒打擊的事件依然高頻發生。

據騰訊安全威脅情報大數據顯示,2020上半年中國境內勒索病毒依舊十分活躍,但總體感染情況較去年略有下降。從勒索病毒攻擊的地區分布看,廣東、浙江、山東、河南、上海等經濟較發達地區成為重點目標,其它省份也遭受到不同程度攻擊。

從勒索病毒影響的行業看,數據價值較高的傳統企業、教育、醫療、政府機構遭受攻擊最為嚴重,網際網路、金融、能源行業緊隨其後,也遭到勒索病毒攻擊影響。

為了追求利益最大化,多數情況下,攻擊者在攻陷企業一臺網絡資產之後,會利用該資產持續滲透攻陷更多資產,之後大量植入文件加密模塊,從而迫使企業在業務系統大面積癱瘓的情況下繳納贖金。

此外,為避免勒索失敗,攻擊者還採取了新的勒索策略。即,先竊取政企機構敏感數據,再對企業資產進行加密。如果企業拒絕繳納贖金解密,就在暗網「恥辱牆」頁面公開企業部分敏感數據進一步實施勒索,若企業依然拒絕繳納贖金,勒索團夥就會直接公開所竊取的企業敏感數據。

對於大型企業而言,數據洩露帶來的不止有經濟上的損失,還會嚴重影響企業形象,使自身失去公眾信任。因此,面對這種以洩露數據為手段的勒索攻擊,就算企業有數據備份,也只能被迫選擇支付贖金。

安全前置不可鬆懈,全方位防禦「勒索病毒」

讓我們把目光再放回到佳明身上,此次安全事件暫無更多細節流出,因此沒有辦法從實際操作過多分析問題和如何修改。但毫無疑問,重創佳明的主因依舊是它自己。

佳明構建這樣一套以數據為產品、業務核心,全方位塑造「專業」標籤的產品理念,從一開始就決定了其需要較其他廠商更多的安全投入。至少從這次安全事件波及業務層面之廣、以及影響時間之長來看,都反映出佳明的安全建設存在許多問題。以多個系統同時中招為例,佳明自身的數據系統內部顯然沒有設置足夠隔離和權限管理機制。

騰訊安全技術專家李鐵軍在接受筆者採訪時指出,目前企業網絡安全存在兩個隱形關鍵點:

● 一是前置,企業在面對複雜的安全挑戰之時,有必要將安全儘可能早、儘可能深地結合到自身產品和業務中去,形成一個堅實的安全能力底座;

● 二是左移,企業應該以發展的視角來看待安全挑戰,像勒索病毒這樣高速成長的安全威脅,應儘可能多增加安全建設的投入。

具體面對勒索病毒這種威脅, 前置建設安全防禦能力是唯一方法。騰訊安全根據多年與勒索病毒戰鬥的經驗,總結了「三不三要」思路。

● 不上鉤:標題吸引人的未知郵件不要點開

● 不打開:不隨便打開電子郵件附件

● 不點擊:不隨意點擊電子郵件中附帶網址

● 要備份:重要資料要備份

● 要確認:開啟電子郵件前確認發件人可信

● 要更新:系統補丁/安全軟體病毒庫保持實時更新

除了這個思路以外 ,企業應在內網安裝專業安全管理軟體;部署流量監控/阻斷類設備/軟體;在網絡邊界、路由器、防火牆上設置嚴格的訪問控制策略;使用內網強制密碼安全策略來避免使用簡單密碼等其他一批進階安全措施。

這些「基礎性」的安全建設往往最難實現和遵守,採用大公司更加先進的解決方法往往是小企業最好的選擇,例如騰訊安全可以根據業務節點攔截位置部署專業的安全產品,並根據騰訊安全威脅情報中心提供的情報數據配置各節點聯防聯動、統一協調管理,提升整體網絡抗攻擊能力。

對於個人和企業用戶而言,騰訊電腦管家就可以解決絕大部分威脅,企業客戶也可以通過部署騰訊終端安全管理系統,去攔截查殺各類勒索病毒。也可以通過騰訊電腦管家,提前備份核心數據。

相關焦點

  • 9月勒索病毒報告來襲:數據洩露成勒索攻擊新套路,20餘個流行勒索...
    可能在很多用戶看來,勒索病毒的危害僅限於加密文件與破壞系統。但實際上,勒索病毒由於攻擊形式不受限、輻射範圍廣、影響領域深,使全球成千上萬的伺服器、資料庫都可能淪為攻擊目標,所以其所造成的破壞效果往往是難以預估的。
  • 全球遭受新一輪勒索病毒攻擊 新勒索病毒在中國沒有蔓延土壤
    「永恆之藍」的威脅風波還未完全過去,一種新的勒索蠕蟲病毒攻擊再次席捲全球。勒索病毒造成了怎樣的影響?中國用戶是否會遭受大規模攻擊?如何防範勒索病毒?這已經成為了網際網路時代地球村居民最關心的問題。「永恆之藍」的威脅風波還未完全過去,一種新的勒索蠕蟲病毒攻擊再次席捲全球。6月27日,多國政府、銀行、電力系統、通訊系統受到攻擊,甚至包括我國部分跨境企業的歐洲分部。
  • Wannacry(想哭)一周年:「承擔」90%以上勒索病毒的攻擊
    去年5月12日,勒索病毒Wannacry在全球範圍內爆發,造成巨大損失。  根據「火絨威脅情報系統」監測和評估,時隔一年,Wannacry疫情依舊嚴峻:國內平均每天受到Wannacry病毒感染的電腦超過10萬臺,佔勒索病毒攻擊總數的90%以上。特別是春節後,感染量急速增長。其中,Windows7系統,政府、企業等內網用戶是其攻擊的主要目標。
  • 攻擊富士康,索要1804枚比特幣的勒索病毒,到底什麼來頭?
    網絡攻擊千千萬,勒索病毒佔一半。近日,富士康母公司鴻海集團的墨西哥工廠伺服器遭黑客攻擊,並要求支付1804枚比特幣,按照市價估算,約為3420萬美元,合計人民幣2.3億元。研華科技則是在11月遭勒索軟體勒索,並要求支付1400萬美元贖金,之後研華科技證實,少數OA伺服器確實被攻擊,黑客可能藉機盜取部分數據。
  • 回顧2019年「霸屏」的勒索病毒,預測2020攻擊趨勢
    一句話總結,2019年,網絡攻擊千千萬,勒索病毒獨佔半壁江山。眼下,2019年已過去,勒索病毒攻擊並未偃旗息鼓,反倒有「衝刺年底KPI」愈演愈烈的勢頭。縱觀全年,我們對2019年的勒索病毒來一個全面回顧。
  • 全世界範圍內蔓延勒索病毒,已有74個國家出現遭受病毒攻擊現象
    短短十幾個小時裡,已經有74個國家和地區的數百萬臺電腦遭到攻擊。據殺毒軟體Avast統計:全球至少有5.7萬臺電腦已經中招,並且目前仍在迅速蔓延中。這種惡意軟體是一種勒索軟體,會立即鎖定所有被感染後的電腦。電腦被鎖定後,用戶會被據此勒索價值300美元的比特幣,而且病毒發行者只接受比特幣支付。日前西班牙電腦安全公司熊貓安全表示,勒索病毒已經升級到可以感染區域網中的所有電腦,而不再只是單點攻擊。
  • 「想哭」病毒還是勒索「老大」 勒索病毒蠕蟲化更加流行
    這份報告是瑞星公司安全研究院綜合瑞星「雲安全」系統、瑞星威脅情報平臺和權威媒體公開報導,對中國2018年1月至10月勒索病毒感染現狀與趨勢進行的統計、研究和分析。報告顯示,2018年1月至10月,瑞星「雲安全」系統共截獲勒索軟體樣本42.82萬個,感染共計344萬次。
  • 年終盤點|2020 十大勒索病毒攻擊事件
    回顧整個 2020 年,千萬贖金事件不斷上演,新的病毒不斷湧現,舊的病毒不斷變種,2020 年的勒索病毒攻擊比以往都來得更猛了些,大到企業小至個人,都無時無刻不遭受著黑客們的虎視眈眈。本文按照時間順序整理了十件2020 年的勒索病毒大案,讓我們一起回顧一下。
  • 2019:勒索病毒事件大盤點
    網絡攻擊千千萬,勒索病毒佔一半。今天我們就來盤一盤,2019年那些令人窒息的勒索病毒攻擊。GandCrab勒索病毒在很多人看來,GandCrab勒索病毒絕對是2019年最傳奇的角色。2018年GandCrab首次出現,之後經過5次版本迭代,波及羅納尼亞、巴西、印度等數十國家地區,全球累計超過150萬用戶受到感染。還被國內安全團隊稱為「俠盜病毒」,因為他們後期的版本中避開了戰火中的敘利亞地區。
  • 這種病毒全球大爆發,團團帶你防範勒索病毒攻擊!
    近日,多所高校發布關於連接校園網的電腦大面積中「勒索」病毒的消息,這種病毒致使許多高校畢業生的畢業論文(設計)被鎖,支付贖金後才能解密。
  • 【緊急】800萬大學生畢業或受影響 勒索病毒正在全球爆發
    12日,英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊。最先報導出來的,是全英國上下多達25家醫院和醫療組織遭到大範圍網絡攻擊。另外有網友反映,大連海事大學、山東大學等也受到了病毒攻擊。不過,重點是,昨天有用戶嘗試支付了贖金,但電腦並沒有恢復。2600萬的中國高校學生面臨著一次聲勢浩大的網絡綁架。而800萬畢業生因為畢業論文無法完成,有可能導致畢業延後的情況發生。所以,懂懂想說,這是根本沒有底線的勒索。面對這種情況,每一個用戶都要引起重視,避免中毒。
  • 騰訊安全:新型勒索病毒Ryuk目標鎖定政企 勒索金額高達75萬
    在勒索病毒界,有一個與日本系列漫畫《死亡筆記》中虛構人物死神同名的Ryuk勒索家族,在北美地區肆虐橫行, 曾在半年間非法獲利近400萬美元。目前,Ryuk勒索家族的魔爪已伸向國內,感染部分用戶。近日,騰訊安全御見威脅情報中心捕獲到國內的一例Ryuk勒索病毒攻擊事件。
  • 勒索病毒襲擊!山東大學遭黑客攻擊 學生論文數據丟失
    12日,全球99個國家和地區發生超過7.5萬起電腦病毒攻擊事件,罪魁禍首是一個名為「想哭」(WannaCry)的勒索軟體。俄羅斯、英國、烏克蘭等國「中招」。
  • 勒索病毒席捲全球!注意了:勒索病毒或已盯上你們
    這種病毒帶來的經濟損失不可估量,醫院和學校以及企業成了重災區,全球至少有上百個國家遭到攻擊。自此勒索病毒和比特幣病毒似乎成為目前最常見的兩種病毒,在高級持續性威脅呈常態化發展趨勢的當下,#G探長#認為:「網際網路更安全了」只是一種錯覺,兇猛且活躍的勒索病毒,徹底撕碎了安全的假象。
  • 「我被勒索了」——Buran病毒
    這樣呀,那勒索病毒還真是令人頭疼呢! 大東:勒索病毒呢,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。
  • 2018勒索病毒全面分析報告
    用戶一旦下載運行,勒索病毒就會加密受害者計算機中的文件,加密計算機的MBR,並且會使用弱口令攻擊區域網中的其它機器。圖:LockCrypt勒索病毒四、勒索病毒感染狀況1、2018年1至10月中國勒索病毒感染現狀2018年1至10月,瑞星「雲安全」系統共截獲勒索軟體樣本42.82萬個,感染共計344萬次,其中廣東省感染94萬次,位列全國第一,其次為北京市48萬次,浙江省20萬次及上海市18萬次。
  • 勒索病毒大規模攻擊全球電腦網路,這種連結千萬別點
    國內多所高校發布關於連接校園網的電腦大面積中「勒索」病毒的消息,這種病毒致使許多高校畢業生的畢業論文(設計)被鎖,支付贖金後才能解密。▲受攻擊的界面都是一樣的!這一波病毒已經在全球爆發,各大洲全部落難,發達地區尤為密集,全球已經有6萬多臺電腦被汙染。
  • 「WannaRen」勒索病毒攻擊源曝光,360安全大腦獨家揭秘幕後「匿影」
    最近,一種名為「WannaRen」的新型比特幣勒索病毒正大規模傳播,在各類貼吧、社區報告中招求助人數更是急劇上升,真可謂鬧得滿城風雨!不幸感染「WannaRen」勒索病毒的用戶,重要文件會被加密並被黑客索要0.05BTC贖金。
  • 勒索病毒攻擊日漸頻發,數據保護成醫療行業重中之重
    網絡安全風險的集中表現,一是僵木蠕等問題嚴峻,勒索病毒威脅嚴重;二是數據洩露事件高發,應用服務存在隱患;三是網絡篡改手法多變,隱式植入非法信息。新冠肺炎疫情使我國醫療安全防控體系迎來了一次大考。為了緩解醫療系統面臨的日益增長的壓力,通過自動化、創新和尋找新方法來提供醫療保健比以往任何時候都更為緊迫。因此,對技術的依賴只會成倍增加。
  • 「安全通告」警惕新型ColdLock勒索病毒攻擊
    安全通告近日,亞信安全發現了一起針對我國臺灣多個組織機構發起的勒索病毒攻擊事件,此次攻擊事件中使用的新型勒索病毒被命名為ColdLock。其針對資料庫和電子郵件伺服器進行加密,有較強的破壞性。該勒索病毒會檢查%System Root%\ProgramData\readme.tmp文件是否存在(該文件是勒索贖金提示文件),以此來判斷系統中是否存在ColdLock勒索,防止重複感染病毒。該病毒會檢查系統時鐘,其會在任意一天下午12:10或之後運行;如果早於該時間,該病毒將休眠15秒鐘,直到超過上述時間為止。