Garmin 證實遭駭客勒索軟體攻擊 深入剖析全球服務大當機事件

全球知名的 GPS 設備及穿戴裝置大廠 Garmin（台灣國際航電）於 2020/07/23 傳出重大的資安勒索攻擊事件，所遭受的影響包括連署數日的產線中斷，以及多項主要的應用服務停擺，據傳駭客組織勒索金額高達 1,000 萬美金；Garmin 對此資安事件發生的第一時間並未對外證實，而是以公告聲明 Garmin 伺服器維修而造成系統中斷為由，但由於連日的服務停擺造成 Garmin 全球用戶大規模的影響，加上來自各界多個管道對於此波攻擊事件的資訊揭露而備受矚目，Garmin 官方遲至 7/28 終於對外發布官方聲明證實遭受勒索攻擊。

證實遭俄羅斯駭客集團 Evil Group 所操控的 WastedLocker 勒索軟體攻擊

根據目前已經揭露的資訊，Garmin 是遭受俄羅斯駭客集團 Evil Group 所操控的 WastedLocker 勒索軟體攻擊，勒索高達 1,000 萬美元（折合新台幣約 3 億元）的贖金；Garmin 受害情況不僅企業內部 IT 系統和資料庫受攻擊而發生產線停工，並且也造成多項旗下的核心服務包括 Garmin 客服中心、地圖及軟體更新等系統中斷，股價於事件傳出時也受到影響下跌；由於 Garmin 是全球知名的 GPS 及穿戴裝置廠商，因此 Garmin 廣大用戶群也不免擔憂用戶的個人資料與隱私是否會受到此波攻擊的影響。

國外資安網站 Bleeping Computer 的報導中也提出更詳細的訊息，不僅取得來自 Garmin 內部員工對於 WastedLocker 勒索攻擊事件的確認，並且也提供相關受駭主機的螢幕截圖，畫面中顯示已遭受加密文件名稱都可看到帶有「.garminwasted」的副檔名，而駭客發出的勒索贖金 Email 內容也同樣出現 GARMIN 字樣，顯見 Garmin 確實遭受到 WastedLock 勒索軟體加密的跡象。

新型的勒索軟體 WastedLocker 攻擊手法揭秘剖析

Garmin 此次遭受的勒索攻擊軟體為 WastedLocker，是由俄羅斯駭客集團 Evil Group 在背後操作，該駭客集團在過往與金融木馬 Dridex 及另一勒索軟體 BitPaymer 也有關聯。WastedLocker 勒索軟體最早由英國資安研究公司 NCC Group 於今年 5 月發現，鎖定美國大型企業下手，至少已有 30 多家企業受害，其中包含多間財星 500 的大企業。

而提到本次攻擊的俄羅斯駭客集團 Evil Group 首領為原籍烏克蘭的俄羅斯駭客雅庫貝塔斯 (Maksim Yakubets)，自 2009 年開始從事駭客活動，並在全球散佈 Dridex 與 Zeus 這兩款針對金融而設計的惡意程式，其中的 Zeus 是一支非常著名的金融木馬惡意程式，從 2007 年到 2014 年之間共有超過 30 家銀行受到感染，影響包含 3 萬多名個人及企業，竊取高達 4,700 多萬美元，之後仍有多支變種惡意程式持續發燒。

WastedLocker 勒索軟體的滲透手法，主要是透過員工上網可能會瀏覽的合法網站，利用名為 SocGholish 的惡意 JavaScript 框架植入，偽裝成軟體更新工具的方式。當駭客能夠存取受害企業的網路時，便會使用滲透測試工具 Cobalt Strike 並且搭配一連串的合法工具就地取材，進行竊取帳號密碼、提升權限，以及在企業網路裡橫向移動，最後將 WastedLocker 植入受害企業的電腦裡，把檔案加密。因此，一旦使用者瀏覽這些被駭的網站，整個企業可能因此成為勒索軟體的受害者；而滲透的管道中，已藉由至少 150 個被駭的合法網站散布，其中包括一般使用者會經常瀏覽的新聞網站。

WastedLocker 勒索軟體的另一特別之處，為大量利用電腦內的合法工具，包括利用 Powershell 來下載啟動器、利用 Windows 內建的軟體授權工具 SLUI.EXE 來提升權限、利用 WMIC.EXE 作為遠端執行命令方式。而 WastedLocker 勒索軟體植入大量電腦的管道則是利用 PsExec 工具來執行，並且同時利用 PsExec 來癱瘓電腦內建的 Microsoft Defender 防毒系統運作。

除此之外，WastedLocker 勒索軟體植入後，會搜尋此台受感染主機的任何儲存裝置，包括內建磁碟、外接隨身碟/硬碟、網路磁碟等，目的是減少受害者透過備份還原的機會；除非，備份檔案是保存於異地或接觸不到的區域，則企業可以進行系統重建與資料還原。

數聯資安專家建議資安應對策略

一、網路安全防護

從 WastedLocker 勒索軟體的滲透手法來看，上網瀏覽是一個主要途徑，因此企業單位可透過上網管道的網路安全閘道先做防禦，最佳建議為次世代網路防火牆 (Next Generation Firewall, NGFW)，不僅可針對網站內容進行過濾 (Content Filter) 外，並能更準確的對於上網過程的應用層內容檢測與入侵防禦，以及啟用進階惡意軟體保護 (Advanced Malware Protection)，減少 WastedLocker 勒索軟體滲透進入企業的機率。但傳統的網路防火牆、防毒牆或 IPS 系統等裝置，並無法偵測與應對 WastedLocker 勒索軟體此類新型態的攻擊手法。

二、端點安全防護

如上述 WastedLocker 勒索軟體在植入企業內部的電腦過程中，仍有多項的準備程序，雖然大量利用電腦內建的合法工具執行以達到「合法掩飾非法」，但這些作業行徑仍屬於「非常態的行為模式」，透過次世代端點安全防護系統則能夠更精準的偵測與分析這些非常態的行徑，提早反應以中斷或隔離，也能避免內部網路橫向擴散的機會。傳統防毒系統由於太倚重已知的病毒碼比對及通訊行為偵測，同樣無法發現 WastedLocker 勒索軟體此類新型態的攻擊手法。

三、請諮詢合格的資安專家

由於 WastedLocker 勒索軟體在此次 Garmin 事件發生之前，已經有多家企業受駭，因此網路上早也出現教人如何解除被加密勒索的工具與網站，也有免費的檢測工具幫助發現 WastedLocker 勒索軟體。請注意！這些多數是利用受害者恐慌心態的另一種駭客攻擊管道，強烈建議您諮詢合格的資安服務商，尋求 WastedLocker 勒索軟體相關情資的訊息與建議。

此次 Garmin 遭駭事件影響與省思

自今年以來，國內已經陸續發生多起的製造業遭受勒索軟體攻擊事件，包括中油、台塑、力成半導體、盟立自動化等；而在國外也發生航太供應商 VT SAA、日本汽車廠本田汽車 (Honda)、印表機大廠全錄 (Xerox)、ATM 與 POS 製造商迪多堡 (Diebold Nixdorf) 等。可觀測的趨勢發現，駭客集團的狩獵目標已經逐漸轉向企業端，不僅僅是製造業領域而已，未來勢必針對營運損失影響性大的目標為勒索對象。

以 Garmin 受駭事件來看，Garmin 不單只是製造業廠商，由於其產品特性為具備數位化、網路化、資訊化的 GPS（全球定位系統）與穿戴裝置，當受駭的發聲時造成 Garmin 用戶的服務體驗受影響，甚至可能造成個人資料與隱私外洩的風險；換言之，未來的產業服務不免接入數位、網路、雲端，不論是軟體或硬體或服務皆有相同的資安威脅。

參考來源

1. [iThome 新聞] Garmin 疑遭勒索軟體攻擊，產線預計將停擺兩天，手機 App 更新無法同步
2. [iThome 新聞] Garmin 服務全球大當機破 3 天，疑似攻擊程式樣本曝光，官方也終於回應用戶資料無損
3. [iThoem 新聞] 鎖定美國大型企業的勒索軟體 WastedLocker 發動攻擊，超過 30 家企業，因員工上網瀏覽已經被入侵的網站而受害
4. [iThome 新聞] 勒索軟體災情哀鴻遍野
5. [Yahoo 新聞] 駭入 Garmin 勒索千萬美金 俄羅斯駭客奢華生活遭起底
6. [BleepingComputer] Garmin outage caused by confirmed WastedLocker ransomware attack
7. [Engadget] Garmin confirms a cyber attack took its systems offline
8. [Bankinfosecurity] Evil Corp’s ‘WastedLocker’ Campaign Demands Big Ransoms
9. [鏈聞 ChainNews] 新型勒索軟件 WastedLocker 變種分析
10. [VirusTotal] WastedLocker reference