GPS设备和服务提供商Garmin周一证实,导致其绝大多数服务中断5天的全球中断是由勒索软件攻击造成的。
“Garmin Ltd.是2020年7月23日一次网络攻击的受害者,这次攻击加密了我们的一些系统,”该公司在周一早间的一篇帖子中写道。因此,我们的许多在线服务中断,包括网站功能、客户支持、面向客户的应用程序和公司通信。我们立即开始评估袭击的性质,并开始补救。“。该公司表示,它不相信用户的个人信息被窃取。
Garmin的困境始于周三晚些时候或周四清晨,因为客户报告说无法使用各种服务。周四晚些时候,该公司表示,Garmin Connect、FlyGarmin、客户支持中心和其他服务正在中断。服务故障导致数百万客户无法将他们的智能手表、健身跟踪器和其他设备连接到提供使其工作所需的基于位置的数据的服务器。周一的帖子是该公司第一次提供全球停电的原因。
该公司的一些员工很快在社交媒体网站上报告说,Garmin被勒索软件攻击拿下,这种攻击利用漏洞或错误配置来侵入公司的网络。勒索软件操作员经常在里面呆上几天或几周,秘密窃取密码并绘制网络拓扑。最终,攻击者对所有数据进行加密,并要求以加密货币支付的赎金来换取解密密钥。
员工发布的屏幕截图和其他数据表明,勒索软件是一种相对较新的菌株,名为WastedLocker。一位直接了解Garmin周末反应的人士证实,使用的是WastedLocker勒索软件。由于讨论机密事宜,该人士要求匿名。
WastedLocker第一次引起公众注意是在7月10日,当时反恶意软件提供商Malwarebytes发布了这个简短的简介。它说,WastedLocker攻击是针对提前选择的组织的高度针对性的攻击。在初始入侵期间,恶意软件对主动网络防御进行详细分析,以便后续渗透可以更好地绕过它们。
一般来说,我们可以说,如果这个团伙找到了进入您网络的入口,就不可能阻止他们至少加密您的部分文件。在这种情况下,唯一可以帮助您挽救文件的方法是使用回滚技术或某种形式的离线备份。使用在线或以其他方式连接的备份,您的备份文件也有可能被加密,这使得让它们变得毫无意义。请注意,回滚技术依赖于监视您的系统的进程的活动。而且存在着这些进程将被列入勒索软件团伙的目标名单的危险。这意味着一旦这些进程访问您的网络,它们将被关闭。
一旦WastedLocker在网络中站稳脚跟,需求通常在50万美元到1000万美元之间。勒索软件名称派生自附加到加密文件名的扩展名“Wasted”,该扩展名包括受害者姓名的缩写。每个加密文件都有自己的单独文件,其中包含为特定目标定制的赎金纸条。
Garmin周一的通知没有使用ransomware或WastedLocker这两个词。然而,“加密了我们的一些系统的网络攻击”的描述几乎明确地证实了这样或那样的勒索软件是原因。
根据MalwareBytes和其他研究机构的说法,WastedLocker与早期的恶意软件Dridex之间的相似之处将勒索软件与来自俄罗斯的有组织犯罪集团Evil Corp.联系在一起。
去年年底,联邦检察官指控被指控的Evil Corp.头目马克西姆·V·雅库贝茨(Maksim V.Yakubets)使用Dridex从美国、英国和其他国家的银行账户中提取了7000多万美元。就在检察官提出10项指控的同一天,美国财政部制裁了Evil Corp.,这是旨在瓦解这个总部位于俄罗斯的黑客组织的协同行动的一部分。美国财政部表示,Evil Corp.从40个国家的组织那里窃取了1亿美元。
天空新闻援引多位未透露姓名的安全消息人士的话报道,Garmin获得了解密密钥。这份报告与这位知情人士告诉ARS的情况一致。天空新闻说,Garmin没有直接向黑客付款,但没有详细说明。Garmin的代表拒绝证实恶意软件是WastedLocker,以及该公司是否支付了任何形式的赎金。财政部的行动可能会使Garmin和其他Evil Corp.受害者本已艰难的处境变得更加复杂,因为如果他们向犯罪团伙支付归还加密数据的费用,他们可能会面临法律诉讼。
周一,Garmin开始缓慢恢复基于位置的服务。当这篇文章在ARS上线时,这个页面显示Garmin Connect已经返回,功能有限,包括挑战和Amp;连接、课程、每日总结、Garmin教练、Strava、第三方同步、健康同步和锻炼。Garmin Drive、Live Track、活动详细信息和上传已完全恢复。为飞行员提供导航和其他服务的FlyGarmin和Garmin Pilot也重新上线。
Garmin的故障突显了勒索软件自2013年首次出现以来已经成为的主要祸害,很大程度上是作为一种恶意软件的新鲜事。去年,勒索软件不仅给美国政府、医疗保健提供商和教育机构造成了总计75亿美元的损失,而且由此造成的中断可能会导致医院拒绝寻求紧急护理的患者,危险地干预关键基础设施,并给数百万最终用户带来困难。Garmin经历的攻击几乎没有理由相信执法部门和安全行业正在接近遏制这种日益增长的威胁。