一次勒索病毒攻擊，讓1500萬(wàn)用戶(hù)“停跑”

握有勒索病毒的黑客，再次展示了他們驚人的破壞力。

7月23號(hào)晚上，越來(lái)越多Garmin(佳明)智能手表的用戶(hù)突然發(fā)現(xiàn)，自己的智能手表無(wú)法與手機(jī)上的配套APP“Garmin Connect”同步，APP本身也無(wú)法更新數(shù)據(jù)，就連之前的一些運(yùn)動(dòng)軌跡也無(wú)法查看。當(dāng)他們想要聯(lián)系佳明官方時(shí)，卻發(fā)現(xiàn)佳明的呼叫中心同樣受到了影響，無(wú)論是電話(huà)、發(fā)送電子郵件還是在網(wǎng)頁(yè)上在線(xiàn)咨詢(xún)，都無(wú)法正常運(yùn)行。

很多用戶(hù)迫不得已，只能跑到各種各樣的社交平臺(tái)網(wǎng)站上去敘述自己的遭遇順帶著投訴。Garmin官方在社交平臺(tái)上迅速回應(yīng)：“官方正努力修復(fù)問(wèn)題，就事件造成的不便致歉。”

如此大規(guī)模的產(chǎn)品業(yè)務(wù)下線(xiàn)，實(shí)屬罕見(jiàn)，怎么看官方都不應(yīng)該發(fā)生這樣的問(wèn)題。很快，國(guó)外媒體ZDNet就揭露了事件的真相——佳明核心業(yè)務(wù)、呼叫中心的集體下線(xiàn)，其實(shí)是因?yàn)樵馐芰藧阂饫账鞑《竟簟?/p>

除了穿戴產(chǎn)品之外，有媒體援引實(shí)際用戶(hù)反饋表示，佳明用于飛行的導(dǎo)航設(shè)備使用也出現(xiàn)了問(wèn)題。根據(jù)航空管制的要求，飛行員在起飛之前必須要在導(dǎo)航系統(tǒng)上下載最新的航空數(shù)據(jù)庫(kù)，但設(shè)備顯示無(wú)法訪問(wèn)。

根據(jù)ZDNet的報(bào)道，有內(nèi)部員工透露此次遭遇的勒索病毒是“WastedLocker”，背后是一個(gè)來(lái)自俄羅斯的黑客團(tuán)隊(duì)。坊間還傳聞，對(duì)方直接向佳明開(kāi)出了1000萬(wàn)美元的贖金，威脅要?jiǎng)h除服務(wù)器上的所有數(shù)據(jù)。

參考國(guó)際咨詢(xún)機(jī)構(gòu)Canalys今年6月對(duì)2020年第一季度全球可穿戴市場(chǎng)的評(píng)估，佳明在全球可穿戴市場(chǎng)的份額大概是7.3%，同期蘋(píng)果的市場(chǎng)份額為36.3%，整體用戶(hù)數(shù)量為7000萬(wàn)，按照這個(gè)數(shù)字推算，此次Garmin遭受攻擊將影響至少1500萬(wàn)用戶(hù)。

佳明為何被勒索病毒扼住“命脈”

作為一個(gè)國(guó)際知名的GPS設(shè)備品牌，佳明涉足智能穿戴、海上導(dǎo)航、航空導(dǎo)航等多個(gè)領(lǐng)域，品牌和產(chǎn)品都主打“專(zhuān)業(yè)”。

以佳明最暢銷(xiāo)的智能手表為例，不僅在硬件層面提供了血氧濃度檢測(cè)、氣壓計(jì)等尋常穿戴設(shè)備不具備的傳感器之外，還將硬件與自家復(fù)雜的APP進(jìn)行全方位綁定，通過(guò)APP實(shí)現(xiàn)進(jìn)一步的數(shù)據(jù)處理和信息展示。通過(guò)將智能手表所采集的數(shù)據(jù)傳輸?shù)绞謾C(jī)和云端上，佳明能夠通過(guò)自身積累的經(jīng)驗(yàn)數(shù)據(jù)，對(duì)用戶(hù)的數(shù)據(jù)進(jìn)行深入分析反饋，同時(shí)也能通過(guò)更大的顯示界面展示更多有用信息。

很顯然，這種能夠在更加專(zhuān)業(yè)的產(chǎn)品硬件基礎(chǔ)上，應(yīng)用云端互通、大數(shù)據(jù)分析的能力，才是佳明最終“專(zhuān)業(yè)”標(biāo)簽的體現(xiàn)，也是其產(chǎn)品的核心競(jìng)爭(zhēng)力。

但這也不可避免地導(dǎo)致佳明的產(chǎn)品使用與云端是否能正常運(yùn)行息息相關(guān)。以目前佳明國(guó)內(nèi)銷(xiāo)售量最大的某款跑步場(chǎng)景運(yùn)動(dòng)手表為例，常用的多端數(shù)據(jù)互動(dòng)工具就包含三款，分別對(duì)應(yīng)手表的基礎(chǔ)管理和應(yīng)用、手表的拓展應(yīng)用商店、手表和PC之間傳輸數(shù)據(jù)的工具。無(wú)論是那一個(gè)基礎(chǔ)工具，打開(kāi)的第一步，都是要直接登錄到Garmin的賬戶(hù)。

面對(duì)勒索病毒的入侵，佳明的產(chǎn)業(yè)和業(yè)務(wù)一下子就遭遇了全面打擊。跟最嚴(yán)重的后果比起來(lái)，用戶(hù)服務(wù)的暫時(shí)停擺都不算什么。有臺(tái)灣媒體援引知情人士信息，佳明的臺(tái)灣工廠也已經(jīng)停工，可見(jiàn)此次勒索病毒影響之深：佳明業(yè)務(wù)、售后、生產(chǎn)全面按下停止鍵，且短時(shí)間內(nèi)拿不出短時(shí)替代的方案。

從目前已知的情況看，這次攻擊是一次黑客組織長(zhǎng)期策劃、籌備的針對(duì)性攻擊。不由得讓人擔(dān)心一種最糟糕狀況的可能性：黑客組織很可能在實(shí)施勒索病毒攻擊之前，已經(jīng)將佳明的用戶(hù)數(shù)據(jù)盜取，佳明想要恢復(fù)用戶(hù)的云端數(shù)據(jù)，只能接受黑客組織的威脅。這些用戶(hù)數(shù)據(jù)絕對(duì)會(huì)涉及隱私，如果黑客泄露用戶(hù)數(shù)據(jù)并且對(duì)用戶(hù)造成實(shí)際損失，佳明很可能還需要吃官司，進(jìn)而造成大得多的經(jīng)濟(jì)損失。

事實(shí)上，越來(lái)越多的企業(yè)在智能產(chǎn)品的打造上，正在參考佳明的路線(xiàn)——在多個(gè)應(yīng)用端、平臺(tái)上共通數(shù)據(jù)，用云端和大數(shù)據(jù)的優(yōu)勢(shì)全面提升自家產(chǎn)品和服務(wù)的體驗(yàn)。這些新技術(shù)、新架構(gòu)的應(yīng)用固然沒(méi)錯(cuò)，可真正面對(duì)勒索病毒攻擊時(shí)，理論上可能出現(xiàn)核心的數(shù)據(jù)流被“綁架”，導(dǎo)致整套服務(wù)體系停擺的嚴(yán)重后果。

愈演愈烈，勒索病毒的威脅日益加劇

就在上周，騰訊安全對(duì)外發(fā)布了《2020上半年勒索病毒報(bào)告》，報(bào)告中顯示，上半年全球大型企業(yè)遭受勒索病毒打擊的事件依然高頻發(fā)生。

據(jù)騰訊安全威脅情報(bào)大數(shù)據(jù)顯示，2020上半年中國(guó)境內(nèi)勒索病毒依舊十分活躍，但總體感染情況較去年略有下降。從勒索病毒攻擊的地區(qū)分布看，廣東、浙江、山東、河南、上海等經(jīng)濟(jì)較發(fā)達(dá)地區(qū)成為重點(diǎn)目標(biāo)，其它省份也遭受到不同程度攻擊。

從勒索病毒影響的行業(yè)看，數(shù)據(jù)價(jià)值較高的傳統(tǒng)企業(yè)、教育、醫(yī)療、政府機(jī)構(gòu)遭受攻擊最為嚴(yán)重，互聯(lián)網(wǎng)、金融、能源行業(yè)緊隨其后，也遭到勒索病毒攻擊影響。

為了追求利益最大化，多數(shù)情況下，攻擊者在攻陷企業(yè)一臺(tái)網(wǎng)絡(luò)資產(chǎn)之后，會(huì)利用該資產(chǎn)持續(xù)滲透攻陷更多資產(chǎn)，之后大量植入文件加密模塊，從而迫使企業(yè)在業(yè)務(wù)系統(tǒng)大面積癱瘓的情況下繳納贖金。

此外，為避免勒索失敗，攻擊者還采取了新的勒索策略。即，先竊取政企機(jī)構(gòu)敏感數(shù)據(jù)，再對(duì)企業(yè)資產(chǎn)進(jìn)行加密。如果企業(yè)拒絕繳納贖金解密，就在暗網(wǎng)“恥辱墻”頁(yè)面公開(kāi)企業(yè)部分敏感數(shù)據(jù)進(jìn)一步實(shí)施勒索，若企業(yè)依然拒絕繳納贖金，勒索團(tuán)伙就會(huì)直接公開(kāi)所竊取的企業(yè)敏感數(shù)據(jù)。

對(duì)于大型企業(yè)而言，數(shù)據(jù)泄露帶來(lái)的不止有經(jīng)濟(jì)上的損失，還會(huì)嚴(yán)重影響企業(yè)形象，使自身失去公眾信任。因此，面對(duì)這種以泄露數(shù)據(jù)為手段的勒索攻擊，就算企業(yè)有數(shù)據(jù)備份，也只能被迫選擇支付贖金。

安全前置不可松懈，全方位防御“勒索病毒”

讓我們把目光再放回到佳明身上，此次安全事件暫無(wú)更多細(xì)節(jié)流出，因此沒(méi)有辦法從實(shí)際操作過(guò)多分析問(wèn)題和如何修改。但毫無(wú)疑問(wèn)，重創(chuàng)佳明的主因依舊是它自己。

佳明構(gòu)建這樣一套以數(shù)據(jù)為產(chǎn)品、業(yè)務(wù)核心，全方位塑造“專(zhuān)業(yè)”標(biāo)簽的產(chǎn)品理念，從一開(kāi)始就決定了其需要較其他廠商更多的安全投入。至少?gòu)倪@次安全事件波及業(yè)務(wù)層面之廣、以及影響時(shí)間之長(zhǎng)來(lái)看，都反映出佳明的安全建設(shè)存在許多問(wèn)題。以多個(gè)系統(tǒng)同時(shí)中招為例，佳明自身的數(shù)據(jù)系統(tǒng)內(nèi)部顯然沒(méi)有設(shè)置足夠隔離和權(quán)限管理機(jī)制。

騰訊安全技術(shù)專(zhuān)家李鐵軍在接受筆者采訪時(shí)指出，目前企業(yè)網(wǎng)絡(luò)安全存在兩個(gè)隱形關(guān)鍵點(diǎn)：

● 一是前置，企業(yè)在面對(duì)復(fù)雜的安全挑戰(zhàn)之時(shí)，有必要將安全盡可能早、盡可能深地結(jié)合到自身產(chǎn)品和業(yè)務(wù)中去，形成一個(gè)堅(jiān)實(shí)的安全能力底座;

● 二是左移，企業(yè)應(yīng)該以發(fā)展的視角來(lái)看待安全挑戰(zhàn)，像勒索病毒這樣高速成長(zhǎng)的安全威脅，應(yīng)盡可能多增加安全建設(shè)的投入。

具體面對(duì)勒索病毒這種威脅， 前置建設(shè)安全防御能力是唯一方法。騰訊安全根據(jù)多年與勒索病毒戰(zhàn)斗的經(jīng)驗(yàn)，總結(jié)了“三不三要”思路。

● 不上鉤：標(biāo)題吸引人的未知郵件不要點(diǎn)開(kāi)

● 不打開(kāi)：不隨便打開(kāi)電子郵件附件

● 不點(diǎn)擊：不隨意點(diǎn)擊電子郵件中附帶網(wǎng)址

● 要備份：重要資料要備份

● 要確認(rèn)：開(kāi)啟電子郵件前確認(rèn)發(fā)件人可信

● 要更新：系統(tǒng)補(bǔ)丁/安全軟件病毒庫(kù)保持實(shí)時(shí)更新

除了這個(gè)思路以外 ，企業(yè)應(yīng)在內(nèi)網(wǎng)安裝專(zhuān)業(yè)安全管理軟件;部署流量監(jiān)控/阻斷類(lèi)設(shè)備/軟件;在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問(wèn)控制策略;使用內(nèi)網(wǎng)強(qiáng)制密碼安全策略來(lái)避免使用簡(jiǎn)單密碼等其他一批進(jìn)階安全措施。

這些“基礎(chǔ)性”的安全建設(shè)往往最難實(shí)現(xiàn)和遵守，采用大公司更加先進(jìn)的解決方法往往是小企業(yè)最好的選擇，例如騰訊安全可以根據(jù)業(yè)務(wù)節(jié)點(diǎn)攔截位置部署專(zhuān)業(yè)的安全產(chǎn)品，并根據(jù)騰訊安全威脅情報(bào)中心提供的情報(bào)數(shù)據(jù)配置各節(jié)點(diǎn)聯(lián)防聯(lián)動(dòng)、統(tǒng)一協(xié)調(diào)管理，提升整體網(wǎng)絡(luò)抗攻擊能力。

對(duì)于個(gè)人和企業(yè)用戶(hù)而言，騰訊電腦管家就可以解決絕大部分威脅，企業(yè)客戶(hù)也可以通過(guò)部署騰訊終端安全管理系統(tǒng)，去攔截查殺各類(lèi)勒索病毒。也可以通過(guò)騰訊電腦管家，提前備份核心數(shù)據(jù)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）