知名的穿戴裝置生產商 Garmin 在 7 月底時,部份裝置同步雲端和導航服務暫停,事後有關公司承認受到加密勒索攻擊,部份內部系統遭加密,令網上服務被迫暫停,而原兇正是 WastedLocker,卡巴斯基的專家對它進行了分析並找出以下的資料。
加密勒索程式 WastedLocker
WastedLocker 這次攻擊正好是「針對性加密勒索攻擊」的例子,惡意程式被調整為攻擊特定的公司,勒索訊息有受害人的名稱,而所有被加密的檔案有額外的「.garminwasted」副檔名。檔案利用 AES 和 RSA 運算法加密,是加密勒索程式常用的組合,然而一組公開 RSA 金鑰用作加密檔案,而並非每次加密檔案後產生獨一無二的金鑰。換句話說,如果加密勒索程式修改為對付多個目標,其解密資料的程式也會共通,因為也只會有一條個人金鑰。另外,惡意程式也顯示了以下功能:
- 排次序加密資料,網絡罪犯能首先對特定資料夾的檔案進行加密,這能把傷害提升到最高,即使加密過程中途被保安機制停止。
- 支援遠端網絡資源檔案加密
- 檢查特別權限和使用騎劫 DLL 去提升權限
Garmin 的情況
根據 Garmin 更新後的聲明,暫停的服務已回復,即使資料同步可能會較慢和個別情況下受到限制,可以理解為裝置因為數天無法與雲端服務同步後,現在正同時間與公司的侵服器連接,因此負荷大增。Garmin 表示在事件中沒有證據顯示,有人曾不當存取用戶的資料。
防護同類型攻擊的方法
針對性加勒索攻擊相信往後仍然會發生,就這個案而言,防護的方式也相當標準:
- 經常保持軟件更新,特別是操作系統,大部份木馬程式都利用已知漏洞作惡。
- 使用 VPN 連接公司系統
- 培訓員工基本的網絡安全知識,因為時常發生從社交工程經員工感染公司網絡的事故。
- 使用先進可靠的防護方案,卡巴斯基的產品現在已能偵測和預防 WastedLocker 的感染。
更詳細分析資料,可以瀏覽 Securelist。
