外媒爆料, 證實 Garmin 取得解密工具! 內文附有 WastedLocker 技術分析的情資!

外媒爆料並加上影片, 證實 Garmin 取得解密工具!  知名資安外媒 BleepingComputer 研究人員證實,Garmin 已收到解密金鑰,以恢復被 WastedLocker 勒索軟體加密的文件。

7月24日,智慧手錶和可穿戴設備製造商 Garmin 因內部網路和某些生產系統被勒索軟體攻擊而關閉了部分服務,此中斷事件也影響了公司的 Call Center。

Garmin 客戶使用的大多數服務都依賴 Garmin Connect 服務,將跑步和騎行等相關數據同步到伺服器上。

即使該公司沒有提供停機的細節,也有幾名員工在社交媒體上分享了關於勒索的軟體攻擊細節。一些員工後來告訴 BleepingComputer,這是受一種新型勒索軟體 WastedLocker 的攻擊所造成,並被要求以贖金 1000萬美元以獲得解密金鑰。

7月28日, 該公司發公告坦承遭到網路攻擊後,並且已恢復了服務的運行。

現在 BleepingComputer 確認參與攻擊的惡意軟體家族是 WastedLocker 勒索軟體,它訪問了 Garmin IT 部門並建立了可執行文件來加密工作站。也這意味著該公司據稱已向勒索軟體運營商付款,以獲取文件的解密器。

“要獲得有效的解密密鑰,Garmin 已向攻擊者支付了贖金。但不知道要付了多少錢“,如前所述,一名員工告訴 BleepingComputer,最初的贖金要求為1000萬美元。復原軟體包括各種軟體安裝程式、解密金鑰、WastedLocker 解密程式以及用於運行所有軟體包的 Script。” 如下圖

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

執行時,復原包將對電腦解密並為電腦準備安全軟體

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

如上圖: 嵌入式腳本清楚地表明該程式包是由 Garmin IT 部門的 APAC(亞太地區)部門建立的,Garmin 的 Script 包含時間戳記’07 / 25/2020’,這說明贖金是在 7月 24日或 7月 25日支付的。

透過使用 Garmin 攻擊中的 WastedLocker 範例,BleepingComputer 也對虛擬機進行了加密測試,以了解密程序是否真的可以將文件復原。如下影片

但由於您永遠不知道攻擊者在入侵期間進行了哪些竄改, 在遭受勒索軟體攻擊後, 公司都應遵循使用乾淨的安裝程式重新安裝作業系統。根據影片 Garmin 似乎並沒有遵循此準則,而只是解密工作站並安裝安全軟體。

由於WastedLocker背後的犯罪分子 Evil Corp受到美國政府制裁,這對於 Garmin 來說可能會變得非常棘手。

WastedLocker 技術分析的情資:

https://otx.alienvault.com/pulse/5f2456d64abc49a9d4520dfe

Source: BleepingComputer https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/amp/

*****竣盟科技快報歡迎轉載,但請註明出處。