Skip to main content

佳明往事之不愿提及的痛——高达 1000 万美金的敲诈

2020 年 7 月 23 日,佳明被勒索软件 WastedLocker 攻击,大量文件被加密,为了恢复数据,佳明支付了高达 1000 万美金的赎金。

四年过去了,今天让我们回顾一下这件佳明不愿提及的悲痛往事究竟是怎么回事?为什么这件事在中文互联网似乎并没有太多的记忆?为什么佳明会受到攻击?为什么佳明最后还是向犯罪分子妥协了?作为个体用户我们应该怎样守护自己的信息安全?

请听二牛为你娓娓道来。本文写作过程中检索了大量历史资料,历尽艰辛,只为呈现一篇精彩的文章,如果你有所收获,请点赞转发评论三连,感谢你的支持。

为什么中国大陆用户没啥印象?

你可能要黑人问号脸:“佳明被勒索?为什么我从没听说过这件事?”

黑人问号脸

福兮祸兮,大多时候看来是掣肘的事情,在少数时刻则会产生意外的好处。佳明的主要外部服务通常分为中国大陆和国际区,因为分区,大陆的很多用户无法便捷体验到境外的软件服务如 Strava,这就是用户使用佳明的掣肘。而这次遭受攻击的主要是佳明国际区,佳明中国的服务因为在大陆独立部署受到的影响非常有限,这也是大多数中国用户中记忆不明显的重要原因。

另外,佳明的很多对外宣传也极力弱化此事件的影响,事故尸检报告中关于攻击细节只提到了一句, 国际区网友会很快忘记此事,更不用说大洋彼岸的中国网友了。

言归正传,这次攻击是怎么回事?

7 月 23 日,佳明的 Facebook 发布了新的帖子:

"We are currently experiencing an outage that affects Garmin Connect, and as a result, the Garmin Connect website and mobile app are down at this time. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience. " (我们目前正在经历一次影响 Garmin Connect 的中断,因此 Garmin Connect 网站和移动应用程序此时都已关闭。此次中断也影响了我们的呼叫中心,我们目前无法接收任何电话、电子邮件或在线聊天。我们正在努力尽快解决这个问题,并为给您带来的不便表示歉意。)

Garmin Connect在攻击期间的流量分析 数据来源:DownDetector

Facebook里Garmin的帖子

显然,这次停机并非如往常情况,只是简单的软件维护,而是遭受了 WastedLocker 的这种勒索软件的攻击。

用户端看到的页面

一位网友开始玩梗:

Now everyone can see the difference between "ran somewhere" and "ransomware". (现在每个人都知道了在某个地方跑步勒索软件的区别)(读音很相似,意思和佳明都很相关)

WasteLocker 的危害现象?

在一张 Garmin 向 BleepingComputer 共享的计算机加密文件的照片中,我们可以看到文件名后附加了 .garminwasted 扩展名,并且还为每个文件创建了赎金说明。

来源: BleepingComputer

一般 WastedLocker 加密的软件会以公司名称+wasted 作为后缀名。

后续佳明的自己的事故报告陈述,我们可以看到内部通讯软件都收到了影响,WastedLocker 的危害性真是非常大。

图片来源 https://www.garmin.com/en-US/newsroom/press-release/uncategorized/2020-garmin-issues-statement-on-recent-outage/

那么 WastedLocker 是如何感染这么多的佳明计算机的呢?

攻击始于一个名为 SocGholish 的基于 JavaScript 的恶意框架,该框架可跟踪 150 多个受到威胁的网站,这些网站伪装成软件更新。一旦攻击者获得了受害者网络的访问权,他们就会将 Cobalt Strike 商品恶意软件和多个远程工具配合使用,窃取凭据、提升权限,并在网络上移动,以便在多台计算机上部署 WastedLocker 勒索软件。在部署勒索软件有效载荷之前,威胁参与者使用从攻击者控制的服务器下载的合法工具和 PowerShell 脚本,在组织的整个网络上禁用 Windows Defender。一旦停止反恶意软件服务,就会使用 Windows SysInterals PsExec 工具启动 WastedLocker 勒索软件,以加密数据并删除保存受害者文件的备份和快照的卷影,从而无法恢复。由于员工浏览了该假冒软件更新,因此员工的计算机被用作进入公司企业网络的起点。

佳明最终如何解决此问题的?

其中一位消息人士告诉 BleepingComputer,攻击者要求 1000 万美元的赎金。 Garmin 的解密脚本包含一个时间戳“07/25/2020”,表示赎金是在 7 月 24 日或 7 月 25 日支付的。

图源 https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/

从结果看来,相比于 1000 万美金的赎金,佳明是更在意用户的数据和公司的数据资产的。而且 1000 万美金的赎金,佳明完全可以支付得起。

2020 年的佳明财务年报表明, 1000 万美金的赎金只相当于当年净利润的 1%左右

佳明2020年财报截图

这件事影响如何?

从历史股价看,该事件后佳明的股价变化并不明显。

佳明2020年7月23日前后股价变化

如何避免勒索软件?

那么对我们普通个体用户来说如何针对高价值数据有效防范勒索软件呢,我们可以采用以下措施:

  1. 强化密码:增加密码复杂度,避免弱口令,比如 12345678,qwertyui,admin 这种顺序密码
  2. 采用多因素认证:比如苹果登录可以开启两步身份验证(MFA),以防止单因素身份认证带来的风险。
  3. 使用杀毒软件,防患于未然。
  4. 数据持续备份:经常备份数据,也要确保备份系统与主系统的安全隔离,避免同时被攻击。

此外,无论是企业还是个人受害者,都不建议支付赎金,因为支付赎金不仅变相鼓励了勒索攻击行为,而且解密过程还可能带来新的安全风险。支付赎金也无法完全避免“撕票”的可能。

最后

佳明遭受 WastedLocker 勒索软件攻击事件,暴露了其在信息安全方面的严重欠缺。表面上看,佳明作为一家知名的科技公司,应该拥有强大的安全防护体系。然而,这次事件却揭示了其内部安全机制的脆弱性。我们在使用佳明的 C 端产品如智能手表,已经见识过其漏洞百出的情况,当我们发现 7️ 其内部安全屏障也同样如纸老虎般不堪一击,

信息安全并非一句空话,它需要企业在日常运营中不断投入资源、加强防护措施。只有在平时做好预防,才能在面对恶意软件攻击时从容应对。佳明的遭遇提醒我们,无论是企业还是个人,都需要高度重视信息安全,不能等到恶意软件真正伤害到我们时,才意识到威胁的严重性。