握有勒索病毒的黑客,再次展示了他们惊人的破坏力。
7月23号晚上,越来越多Garmin(佳明)智能手表的用户突然发现,自己的智能手表无法与手机上的配套APP“Garmin Connect”同步,APP本身也无法更新数据,就连之前的一些运动轨迹也无法查看。当他们想要联系佳明官方时,却发现佳明的呼叫中心同样受到了影响,无论是电话、发送电子邮件还是在网页上在线咨询,都无法正常运行。
很多用户迫不得已,只能跑到各种各样的社交平台网站上去叙述自己的遭遇顺带着投诉。Garmin官方在社交平台上迅速回应:“官方正努力修复问题,就事件造成的不便致歉。”
如此大规模的产品业务下线,实属罕见,怎么看官方都不应该发生这样的问题。很快,国外媒体ZDNet就揭露了事件的真相——佳明核心业务、呼叫中心的集体下线,其实是因为遭受了恶意勒索病毒攻击。
除了穿戴产品之外,有媒体援引实际用户反馈表示,佳明用于飞行的导航设备使用也出现了问题。根据航空管制的要求,飞行员在起飞之前必须要在导航系统上下载最新的航空数据库,但设备显示无法访问。
根据ZDNet的报道,有内部员工透露此次遭遇的勒索病毒是“WastedLocker”,背后是一个来自俄罗斯的黑客团队。坊间还传闻,对方直接向佳明开出了1000万美米的赎金,威胁要删除服务器上的所有数据。
参考国际咨询机构Canalys今年6月对2020年第一季度全球可穿戴市场的评估,佳明在全球可穿戴市场的份额大概是7.3%,同期苹果的市场份额为36.3%,整体用户数量为7000万,按照这个数字推算,此次Garmin遭受攻击将影响至少1500万用户。
作为一个国际知名的GPS设备品牌,佳明涉足智能穿戴、海上导航、航空导航等多个领域,品牌和产品都主打“专业”。
以佳明最畅销的智能手表为例,不仅在硬件层面提供了血氧浓度检测、气压计等寻常穿戴设备不具备的传感器之外,还将硬件与自家复杂的APP进行全方位绑定,通过APP实现进一步的数据处理和信息展示。通过将智能手表所采集的数据传输到手机和云端上,佳明能够通过自身积累的经验数据,对用户的数据进行深入分析反馈,同时也能通过更大的显示界面展示更多有用信息。
很显然,这种能够在更加专业的产品硬件基础上,应用云端互通、大数据分析的能力,才是佳明最终“专业”标签的体现,也是其产品的核心竞争力。
但这也不可避免地导致佳明的产品使用与云端是否能正常运行息息相关。以目前佳明国内销售量最大的某款跑步场景运动手表为例,常用的多端数据互动工具就包含三款,分别对应手表的基础管理和应用、手表的拓展应用商店、手表和PC之间传输数据的工具。无论是那一个基础工具,打开的第一步,都是要直接登录到Garmin的账户。
面对勒索病毒的入侵,佳明的产业和业务一下子就遭遇了全面打击。跟最严重的后果比起来,用户服务的暂时停摆都不算什么。有导航媒体援引知情人士信息,佳明的导航工厂也已经停工,可见此次勒索病毒影响之深:佳明业务、售后、生产全面按下停止键,且短时间内拿不出短时替代的方案。
从目前已知的情况看,这次攻击是一次黑客组织长期策划、筹备的针对性攻击。不由得让人担心一种最糟糕状况的可能性:黑客组织很可能在实施勒索病毒攻击之前,已经将佳明的用户数据盗取,佳明想要恢复用户的云端数据,只能接受黑客组织的威胁。这些用户数据绝对会涉及隐私,如果黑客泄露用户数据并且对用户造成实际损失,佳明很可能还需要吃官司,进而造成大得多的经济损失。
事实上,越来越多的企业在智能产品的打造上,正在参考佳明的路线——在多个应用端、平台上共通数据,用云端和大数据的优势全面提升自家产品和服务的体验。这些新技术、新架构的应用固然没错,可真正面对勒索病毒攻击时,理论上可能出现核心的数据流被“绑架”,导致整套服务体系停摆的严重后果。
就在上周,腾讯安全对外发布了《2020上半年勒索病毒报告》,报告中显示,上半年全球大型企业遭受勒索病毒打击的事件依然高频发生。
据腾讯安全威胁情报大数据显示,2020上半年中国境内勒索病毒依旧十分活跃,但总体感染情况较去年略有下降。从勒索病毒攻击的地区分布看,广东、浙江、山东、河南、上海等经济较发达地区成为重点目标,其它省份也遭受到不同程度攻击。
从勒索病毒影响的行业看,数据价值较高的传统企业、教育、医疗、阅批机构遭受攻击最为严重,互联网、金融、能源行业紧随其后,也遭到勒索病毒攻击影响。
为了追求利益最大化,多数情况下,攻击者在攻陷企业一台网络资产之后,会利用该资产持续渗透攻陷更多资产,之后大量植入文件加密模块,从而迫使企业在业务系统大面积瘫痪的情况下缴纳赎金。
此外,为避免勒索失败,攻击者还采取了新的勒索策略。即,先窃取政企机构敏感数据,再对企业资产进行加密。如果企业拒绝缴纳赎金解密,就在暗网“耻辱墙”页面公开企业部分敏感数据进一步实施勒索,若企业依然拒绝缴纳赎金,勒索团伙就会直接公开所窃取的企业敏感数据。
对于大型企业而言,数据泄露带来的不止有经济上的损失,还会严重影响企业形象,使自身失去公众信任。因此,面对这种以泄露数据为手段的勒索攻击,就算企业有数据备份,也只能被迫选择支付赎金。
让我们把目光再放回到佳明身上,此次安全事件暂无更多细节流出,因此没有办法从实际操作过多分析问题和如何修改。但毫无疑问,重创佳明的主因依旧是它自己。
佳明构建这样一套以数据为产品、业务核心,全方位塑造“专业”标签的产品理念,从一开始就决定了其需要较其他厂商更多的安全投入。至少从这次安全事件波及业务层面之广、以及影响时间之长来看,都反映出佳明的安全建设存在许多问题。以多个系统同时中招为例,佳明自身的数据系统内部显然没有设置足够隔离和权限管理机制。
腾讯安全技术专家李铁军在接受笔者采访时指出,目前企业网络安全存在两个隐形关键点:
一是前置,企业在面对复杂的安全挑战之时,有必要将安全尽可能早、尽可能深地结合到自身产品和业务中去,形成一个坚实的安全能力底座;
二是左移,企业应该以发展的视角来看待安全挑战,像勒索病毒这样高速成长的安全威胁,应尽可能多增加安全建设的投入。
具体面对勒索病毒这种威胁, 前置建设安全防御能力是唯一方法。腾讯安全根据多年与勒索病毒战斗的经验,总结了“三不三要”思路。
除了这个思路以外 ,企业应在内网安装专业安全管理软件;部署流量监控/阻断类设备/软件;在网络边界、路由器、防火墙上设置严格的访问控制策略;使用内网强制密码安全策略来避免使用简单密码等其他一批进阶安全措施。
这些“基础性”的安全建设往往最难实现和遵守,采用大公司更加先进的解决方法往往是小企业最好的选择,例如腾讯安全可以根据业务节点拦截位置部署专业的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。
对于个人和企业用户而言,腾讯电脑管家就可以解决绝大部分威胁,企业客户也可以通过部署腾讯终端安全管理系统,去拦截查杀各类勒索病毒。也可以通过腾讯电脑管家,提前备份核心数据。