遭勒索軟體綁架四天 Garmin三億贖身內幕
國際知名GPS和穿戴裝置大廠Garmin,7月23日遭勒索軟體「綁架」,就連Garmin台灣分公司也受害,網路中斷4天,直到7月27日才陸續恢復。「最後付了1千萬美金(新台幣3億元)贖身!」知情人士透露。
事實上,台灣企近來已成國際駭客眼中的待宰羔羊,光是今年5月,就發生中油、台塑及半導體封測大廠「力成」遭勒索軟體入侵事件。多位資安專家慨歎,「企業不重視資料備份,遭攻擊後又怕傷形象,不敢報警,多付錢了事。」
報導:財經組 攝影:王永泰、黃威彬 繪圖:繪圖組
設計:美編組 編輯:文編組
閱讀完整內容
由於新冠肆虐,全球各大企業今年多採取透過內網「在家工作」的模式運作,然而,俄國駭客卻將「在家工作」視為「商機」, 入侵顛覆各大企業內網進行勒索。光是上半年,美國已有八間前五百大企業及十一間上市公司受害; Garmin台灣分公司總部大樓日前也遭駭客突襲。
停機兩日 損失慘重
Garmin台灣分公司總部大樓位於新北市汐止區樟樹二路,七月二十三日下午三點,該公司資管部門(MIS)發出公告:「請所有人斷網,Windows的User 檢查C:\windows下有沒有fyul.exe、fyul1.bat這兩個檔案,有的話刪除並關機。」
據悉,當時資管人員已發現部分伺服器及工程師電腦裡的檔案,都遭到名為「Wasted Locker」的勒索軟體綁架,近期的關鍵檔案以及重要資料的副檔名,全部都變成了「GARMINWASTED」。Wasted Locker同時附上「勒索信函」,內容提到需以ProtonMail (郵件在讀取後可自動銷毀,無法被還原)連繫指定信箱,商討恢復檔案的價金,並強調不得透露訊息給第三者知道。有外媒指稱,這樁「綁架案」最終談妥的勒索價碼為一千萬美金(約新台幣三億元)。
當天下午四點,Garmin台灣分公司火速宣布,除了資安相關部門,其他員工停止上班,並且將產線、客服、穿戴裝置紀錄及海陸空圖資更新等線上服務全部停機。
七月二十四日十二點四十分,藏在全球Garmin內網的勒索軟體瞬間爆發,包括英國、美國、台灣及大陸等地的部分電腦伺服器聯網中斷,然而,Garmin 台灣分公司還一度樂觀對外公告「所有斷網,將在一小時內會恢復連線」,當天下午三點又改口說「確認被惡意軟體入侵」。
這一波勒索軟體攻擊中, Garmin引以為傲、獲得多家小型航空公司使用的航空圖資「FlyGarmin」也遭波及。美國「聯邦航空管理局」(FAA)規定,飛機起飛前都必須更新航空圖資,FlyGarmin斷網後,圖資無法更新,導致許多飛機無法起飛,損失慘重。
拒絕報案 付錢了事
Garmin斷網一事,很快地在健身圈、跑友圈引起一片哀嚎。「不能上傳運動軌跡,感覺就像做白工,真的就沒有動力。」一名Garmin運動錶的用戶在社群PO出崩潰文。Garmin上傳運動紀錄的服務及準確度,堪稱業界頂尖,用戶黏著度也非常高, 一斷網,用戶便無法向好友炫耀運動成績。
直到七月二十七日,Garmin 才陸續恢復服務,Garmin美國分公司當天發出公告證實,部分伺服器及電腦遭到入侵加密,強調所有用戶隱私資料及付款資訊都沒有外洩。
這樁持續四天的「綁架案」落幕後,各界議論紛紛,究竟是Garmin的資安功力技高一籌,成功透過「備份資料庫」(可還原被加密的檔案)躲開勒索軟體,還是付了一千萬美元才得以脫身?據悉,警方曾詢問Garmin台灣分公司是否需要協助或報案, 卻遭婉拒。
對此,一名知情人士透露, 「勒索軟體一開始是從歐洲入侵, 接著滲透美國再來到台灣,最後還是付錢了事,但並非『直接』付款而是以其他名目繞道付款;近期Garmin會引進最新的安全設備加強資安。」不過,Garmin對此至截稿前都沒有回應。
勒索軟體Wasted Locker到底如何入侵企業內網?國內知名資安公司「安碁資訊」技術副總黃瓊瑩表示,「今年五月,英國資安研究公司NCC Group最早發現WastedLocker,濫用這個勒索軟體的正是俄羅斯駭客集團Evil Corp。攻擊的初期,駭客會先隱匿起來,等到摸清楚企業內網架構後,再以滲透測試工具搭配電腦內建工具,竊取帳密、提升權限,甚至翻透企業財報、營收,再評估贖金上限,接著列出(勒索軟體)爆發的排程。」
以專精攻擊手法及威脅分析聞名的新創資安公司「如梭世代」技術長Leo則說,「Wasted Locker 的入侵模式就是『水坑式攻擊法』,先分析目標企業員工瀏覽網頁的習慣,再將惡意代碼植入合法網站布下陷阱,當目標企業員工瀏覽到該網站,駭客就會像獅子咬住獵物不鬆口,進而滲透企業內網。」
據悉,企業除非建置備份資料庫,且藏得相當隱密,否則無法防範「水坑式攻擊法」,一旦被綁架,不是付贖金,就是捨棄資料。
事實上,早在五月間,包括中油、台塑和多家醫院、半導體大廠等都曾遭勒索軟體鎖定,受害企業擔心影響商譽及客戶信任度,大多低調處理。根據美國微軟六月底發布的資安威脅報告,台灣企業遭到勒索軟體的攻擊頻率,是亞太地區其他國家的二點五倍,也高於全球一點五倍,部分公司最後選擇妥協,支付數百萬元甚至上千萬元換取「自由身」。
資安危機 備份防堵
「基本上不建議被害者付贖金!」黃瓊瑩強調,「因為不清楚駭客是否守信用?會不會給予解密工具?有些勒索軟體根本沒有留下支付贖金訊息,純粹就是要破壞;再者,付贖金會助長駭客組織氣焰, 美國就禁止被勒索的政府機關及企業,支付駭客贖金。」
一位不願具名的資安專家指出,「是否付贖金還要判斷是哪種勒索軟體。以Evil Corp為例,他們的目的就是勒索,會針對目標企業『客製化』勒索軟體,若企業付出贖金後沒取得解密工具,就再也不會有企業付贖金;甚至有駭客組織收到贖金後,還附送其他未被發現的企業內網漏洞。」
至於要如何防堵勒索軟體, 黃瓊瑩及Leo都建議,「企業要檢視系統備份的頻率,遵循『三二一原則』來備份檔案,就是以二種不同格式建立三個備份,並在異地儲存另一個備份,重要資料也要以加密方式處理。」
不過,台灣企業的資安觀念薄弱,令資安專家相當氣餒。對許多企業而言,備份資料或聘請資安團隊,都是額外費用,因而多將資安工作交給資訊科技部門(IT)管理, 這就像人資兼任會計及財務,毫無專業可言。「這樣的做法是錯的,在萬物皆聯網的時代,資安已經是企業經營的風險之一。」黃瓊瑩強調。
Leo表示,攻擊電腦的是人, 資安維護的也是人,在攻擊手法不斷更新的時代,人員也必須與時俱進,並建立發生資安事件時的應對SOP,才能把損害程度降到最低。