BleepingComputer 证实称,佳明(Garmin) 已获得遭 WastedLocker 勒索软件加密的文件解密密钥。
2020年7月23日,佳明全球服务被迫中断,客户无法访问连接服务,包括 Garmin Connect、flyGarmin、Strava、inReach 解决方案等。BleepingComputer 报道称,佳明员工共享了加密工作站的照片后,该媒体发现了攻击中所利用的勒索软件样本,并证实该公司遭 WastedLocker 勒索软件感染。
在服务中断期间,佳明突然宣布称正开始恢复服务,因此 BleepingComputer 认为该公司已支付勒索金。不过佳明并未置评。
BleepingComputer 获得访问由佳明 IT 部门创建的一个可执行文件的访问权限,该可执行文件用于解密工作站并安装多种安全软件。WastedLocker是一款针对企业的勒索软件,其加密算法中不存在已知弱点。它说明解密密钥不可能免费获取。为了获得起作用的解密密钥,佳明必然已经支付勒索金。虽然尚不清楚具体支付的勒索金金额,但该公司员工之前表示勒索要求是1000万美元。提取恢复数据包后发现其中包含多种安全软件安装程序、一个解密密钥、一个 WastedLocker 解密密钥以及运行所有内容的脚本。提取时,该恢复数据包解密计算机,之后开始安装安全软件。
佳明的脚本中包含时间戳“07/25/2020”,表明勒索金或者在7月24日或7月25日支付。BleepingComputer 使用攻击中的 WastedLocker 样本加密了一台虚拟机并测试解密密钥是否可解密文件。测试表明解密成功。
遭勒索攻击的企业均应擦除所有计算机并安装清洁镜像。另外需要进行重新安装,因为我们无法知道攻击者修改的内容。从上述脚本可知,佳明并未遵守这一指南,只是解密工作站并安装安全软件。
文件恢复数据包中包含的解密器包括对网络安全公司 Emsisoft和勒索软件谈判服务公司 Coveware 的引用。Coveware 表示不会回应媒体报告的任何勒索软件事件。Emsisoft公司也做出类似回应,不过表示他们创建解密工具且并不牵涉勒索支付,“我无法就具体事件做出回应,但一般而言,Emsisoft并不会牵涉勒索支付的谈判或交易。我们只是创建解密工具。”Emisoft 公司的一名威胁分析师 Brett Callow 指出。Emsisoft 通常是在威胁行动者提供的工具存在漏洞或者公司认为工具存在后门时制造自定义勒索软件解密器。Emsisoft 在勒索软件恢复服务页面指出,“如已支付勒索金但攻击者提供的解密密钥较慢或存在问题,我们可以提取解密代码并创建自定义构建解决方案,解密速度提升50%且数据损失或丢失的风险更小。”Evil Corp 被指是 WastedLocker 的创建者,因使用 Dridex 造成超过1亿美元的损失而被美国列入制裁名单,支付勒索金可能导致收到政府的高额罚款。由于这些制裁的原因,熟悉 Coveware 的人士表示该公司已在7月初将 WastedLocker 的限制名单中且不处理相关攻击的谈判活动。
https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~