繼 Garmin 之後,相機界領導地位的 Canon 在日前確定受到了加密勒索攻擊,公司內部多個服務和應用程式受到影響,而在同時間,Canon 通知客戶在 image.canon 雲端服務上儲存的部份資料可能會有損失。
內部系統遭加密迫使服務暫停
事件源於有 Canon 內部人士向第三方研究人員提供了一則內部訊息截圖,內容是公司廣泛系統發生事故,包括 Microsoft Teams、公司電郵、美國網站和其他內部應用程式等等,有關的系統將暫停服務,而美國的網站亦顯示錯誤或無法找到網頁的訊息。
隨後更收到加密勒索訊息的截圖,確定是受到 Maze 的加密勒索攻擊,攻擊者並聲稱盜取了 Canon 10 TB 資料。Maze 沒有透露更多詳細攻擊的資料,例如贖金數目、盜取資料的證據和被加密裝置的總數等等,
Maze – 人手操作的加密勒索程式
Maze 是針對企業的人手操作加密勒索程式,入侵網絡後會靜靜潛伏,直至取得管理員帳號權限和系統的 Windows 網域操制器,在這段期間,Maze 會在侵服器偷偷解密檔案,並偷偷備份和上載到攻擊者的伺服器。當在網絡內收集到有價值的內容和取得 Windows 網域控制器後,Maze 便會經由網域對所有裝置部署加密。
據往績,如果受害者不支付贖金,Maze 便會在他們創建的網站內公開受害者被盜的資料。其實過往 Maze 也曾經對一些知名公司被攻擊事件承認責任,LG、Xerox 和 Chubb 等公司也曾經是受害者。
客戶或損失 6 月前的雲端資料
在事件期間,Canon 讓客戶儲存相片和影片的雲端服務 image.canon 也一度暫停服務六天,雖然服務現已恢復,但根據 Canon 向客戶發送的重要訊息顯示,客戶可能會失去部份在今年 6 月以前存放的資料,而 Canon 聲稱有關資料並沒有外洩。Maze 方便也沒有承認 image.canon 是受到他們的影響,所以背後可能另有原因有待 Canon 進一步公佈。
Canon 已經確定事件為加密勒索攻擊,並已著手處理問題。事件再次顯示了由黑客在背後手動操作的加密勒索攻擊的破壞力,這種進階攻擊靈活地利用保安漏洞進行滲透,令企業防不勝防。另外,也打破了坊間對「雲端儲存絕對安全,無需備份」的誤解,因為如果事件受害者沒有做其他備份,他們某些作品很可能永遠消失。
資料來源:Bleeping Computer
