外媒爆料並加上影片, 證實 Garmin 取得解密工具!  知名資安外媒 BleepingComputer 研究人員證實，Garmin 已收到解密金鑰，以恢復被 WastedLocker 勒索軟體加密的文件。

7月24日，智慧手錶和可穿戴設備製造商 Garmin 因內部網路和某些生產系統被勒索軟體攻擊而關閉了部分服務，此中斷事件也影響了公司的 Call Center。

Garmin 客戶使用的大多數服務都依賴 Garmin Connect 服務，將跑步和騎行等相關數據同步到伺服器上。

即使該公司沒有提供停機的細節，也有幾名員工在社交媒體上分享了關於勒索的軟體攻擊細節。一些員工後來告訴 BleepingComputer，這是受一種新型勒索軟體 WastedLocker 的攻擊所造成，並被要求以贖金 1000萬美元以獲得解密金鑰。

7月28日， 該公司發公告坦承遭到網路攻擊後，並且已恢復了服務的運行。

現在 BleepingComputer 確認參與攻擊的惡意軟體家族是 WastedLocker 勒索軟體，它訪問了 Garmin IT 部門並建立了可執行文件來加密工作站。也這意味著該公司據稱已向勒索軟體運營商付款，以獲取文件的解密器。

“要獲得有效的解密密鑰，Garmin 已向攻擊者支付了贖金。但不知道要付了多少錢“，如前所述，一名員工告訴 BleepingComputer，最初的贖金要求為1000萬美元。復原軟體包括各種軟體安裝程式、解密金鑰、WastedLocker 解密程式以及用於運行所有軟體包的 Script。” 如下圖

執行時，復原包將對電腦解密並為電腦準備安全軟體

如上圖: 嵌入式腳本清楚地表明該程式包是由 Garmin IT 部門的 APAC(亞太地區)部門建立的，Garmin 的 Script 包含時間戳記’07 / 25/2020’，這說明贖金是在 7月 24日或 7月 25日支付的。

透過使用 Garmin 攻擊中的 WastedLocker 範例，BleepingComputer 也對虛擬機進行了加密測試，以了解密程序是否真的可以將文件復原。如下影片

但由於您永遠不知道攻擊者在入侵期間進行了哪些竄改, 在遭受勒索軟體攻擊後, 公司都應遵循使用乾淨的安裝程式重新安裝作業系統。根據影片 Garmin 似乎並沒有遵循此準則，而只是解密工作站並安裝安全軟體。

由於WastedLocker背後的犯罪分子 Evil Corp受到美國政府制裁，這對於 Garmin 來說可能會變得非常棘手。

WastedLocker 技術分析的情資:

https://otx.alienvault.com/pulse/5f2456d64abc49a9d4520dfe

Source: BleepingComputer https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/amp/

*****竣盟科技快報歡迎轉載，但請註明出處。

繼Twitter的名人帳號被盜來詐比特幣後, 又一大型網路事件–Cloudflare在美東時間7月17日下午經歷了大當機!!!

全球知內容遞送網路（Content delivery network, CDN)業者Cloudflare在7月17日經歷了網路大斷網, 致使衆多網站和網路服務哀嚎遍野

以下為透過Downdetector 檢測到當時受影響的區域和各大網站無法連線的情形,

影響了從league of legends到亞馬遜網路服務和Google等等的網站，引起一半互聯網癱瘓….

由於影響情況的廣泛, 不免引起了是由駭客DDoS攻擊的猜測, 但CloudFlare在美東時間7月17日下午6:28已作說明，根據Cloudflare執行長Matthew Prince的說法，“亞特蘭大的路由器發生錯誤，導致跨主幹網的路由器出現故障也, 導致到連接到我們骨幹網的PoP的流量路由器錯誤。”

We isolated the Atlanta router and shut down our backbone, routing traffic across transit providers instead. There was some congestion that caused slow performance on some links as the logging caught up. Everything is restored now and we're looking into the root cause. 2/2

— Matthew Prince 🌥 (@eastdakota) July 17, 2020

在美東時間7月18 日凌晨3時 Cloudflare更新了博客文章，並解釋由於配置錯誤引起當機持續了約23分鐘，排除了其問題是攻擊的結果的猜測，Cloudflare執行長 Prince在一條推文中說：“有關導致我們23分鐘的服務中斷（約50％網路）原因是我們的專用骨幹網中的路由器配置中有錯字。我們已經採取了安全措施，以確保這樣的錯誤在將來不會引起問題。”

Details on how we caused an 23 min outage for~50% of @Cloudflare's network today. The root cause was a typo in a router configuration on our private backbone. We've applied safeguards to ensure a mistake like this will not cause problems in the future. https://t.co/iHQTiJ8O5J

— Matthew Prince 🌥 (@eastdakota) July 18, 2020

Cloudflare當機報告:

https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

竣盟科技官網:https://www.billows.com.tw/

*****竣盟科技快報歡迎轉載,但請註明出處

竣盟科技快報⚠️注意⚠️注意:

Twitter 遭受史無前例的大規模駭客攻擊! 大量高知名度的名人和企業的 Twitter 帳號被駭客駭持-包括 Tesla 的創辦人 Elon Musk, Amazon 創辦人 Jeff Bezos，微軟創辦人Bill Gates, Apple 等藍鈎帳號遭駭, 被用作詐騙比特幣!

目前不清楚這起資安事件的幕後黑手, 但事件大約發生在美東時間 7 月 15 日下午 3 點，即台灣時間 7 月 16 日凌晨 3 點左右，陸續爆發被入侵的驗證帳戶貼出可疑貼文，聲稱為了回饋社會, 承諾在接下來的 30 分鐘內，請網民將比特幣匯到特定的網址，然後就會收到回饋的雙倍比特幣。

目前已知被駭的帳戶包括股神巴菲特, Tesla 和 SapceX 的執行長馬斯克、美國前總統奥巴馬, 前副總統拜登、微軟創辦人 Bill Gates、亞馬遜行政總裁兼始創人貝索斯、已宣布參選美國總統的饒舌歌手 Kanye West、富商彭博，甚至著企業 Apple 公司、Uber 等等。

另外根據資安公司 Malware Tech, 認為是第三方的 app 造成的入侵而不是 Twitter 本身受駭, 請參考下圖貼文

A bunch of high profile cryptocurrency Twitter accounts have been hijacked to tweet bitcoin scams. Likely a 3rd party App compromise rather that Twitter itself. Wallet has received ~$6000. pic.twitter.com/D8MiXrz9ml

— MalwareTech (@MalwareTechBlog) July 15, 2020

另外 Malware Tech 也說，就他們的觀察, 在兩小時內, 受騙金額已達 103,000 美元,如下圖貼文

So far I've seen tweets from the accounts of Elon Musk, Jeff Bezos, Bill Gates, and Kanye West. Hackers are putting back tweets as soon as account owners delete them. They've already made $103,000 in two hours.

— MalwareTech (@MalwareTechBlog) July 15, 2020

根據 Twitter Support 在其官方帳號也發文表示: ”我們知道有一個資安全事件在影響 Twitter 用戶。 我們正在調查並採取措施加以修復。”據了解, Twitter 已在限制某些帳戶的發文，重設密碼和其他一些功能。

We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.

— Twitter Support (@TwitterSupport) July 15, 2020

美國各大新聞媒體也對此起資安事件作大幅度的報導, 可參考以下網址

CNN: https://www.google.com/amp/s/amp.cnn.com/cnn/2020/07/15/tech/twitter-hack-elon-musk-bill-gates/index.html

NBC News: https://www.google.com/amp/s/www.nbcnews.com/news/amp/ncna1233948

*****竣盟科技快報歡迎轉載，但請註明出處。

駭客組織 Lazarus Group 利用 Magecart 側錄攻擊從歐盟和美國站點竊取信用卡數據…

總部位於荷蘭的安全公司 Sansec 研究人員稱，自 2019 年 5 月以來，臭名昭彰的北韓駭客組織 Lazarus Group 至少對數十家電子商務商店進行了攻擊，其中包括最近對美國飾品零售商Claire’s 的高調攻擊。

北韓 Lazarus Group 又名 Hidden Cobra，為了使側錄攻擊業務獲利，開展了全球滲透網路，劫持並利用了合法的網站進行成犯罪活動。網路罪犯使用網路惡意腳本，從結帳頁面複製敏感的信用卡數據。在調查信用卡盜竊案時，Sansec 的研究人員發現竊取者進行了網路魚叉式釣魚攻擊，而將他們共享的基礎架構以及程式碼中各種特徵關聯起來，最後將這個對信用卡的側錄攻擊歸咎於北韓的 Lazarus Group。

受害者包括飾品巨頭 Claire’s, 黃氏珠寶商（Wongs Jewellers）, Focus Camera, Paper Source, Jit Truck, CBD Armour, Microbattery and Realchems 等數十家商店。

Lazarus Group 以已滲透的網路用來匯集被盜資產，以便在暗網上出售。為了掩蓋自己的踪跡，他們破壞了合法企業的網站，並轉存被盜的信用卡資料。根據 Sansec 的調查結果，Lazarus Group 劫持了位於意大利模特經紀公司（Lux Model Agency）的網站，位於新澤西州的一家書店，以及位於德黑蘭的一家老式音樂商店。

註冊與受害者商店相似的域名這個策略似乎為 Lazarus Group 帶來成果。已經確定最近的側錄活動與先前記錄的北韓駭客活動之間存在多個獨立的聯繫。下圖顯示綠色為受害者的存儲區，紅色表示受 Lazarus Group 控制的滲透節點。黃色表示其操作方式（或TTP）。

研究人員將滲透網域與北韓的網路攻擊聯繫在一起, 並稱 Lazarus Group 在網路釣魚事件發生後分發惡意軟體進行攻擊：

technokain.com（釣魚活動1，2）

darvishkhan.net（垃圾郵件活動 1，2）

areac-agr.com（從 Dacls RAT 的伺服器下載）

papers0urce.com（與 areac-agr.com 共用 IP，在 Dacls 示例中進行硬編碼）

最初的滲透節點是 Lux Model Agenc y網站，但該惡意軟體在 24小 時內消失，並在一周後重新出現在同一家商店中。但這一次，惡意軟體進入了新澤西的一家書店。

在幾個月中，相同的惡意腳本使用以下被劫持的站點加載並收集被盜的信用卡，進而感染了數十家商店：

stefanoturco.com（在2019-07-19和2019-08-10之間）

technokain.com（在2019-07-06和2019-07-09之間）

darvishkhan.net（在2019-05-30和2019-11-26之間）

areac-agr.com（在2019-05-30和2020-05-01之間）

luxmodelagency.com（介於2019-06-23和2020-04-07之間）

Signedbooksandcollectibles.com（在2019-07-01和2020-05-24之間）

後記: 有關北韓發起的 Magecart 側錄攻擊的消息表示著，專制政權正在使用另一種策略來填補其國庫。Lazarus 的名字很大程度上與加密貨幣交易所和銀行的網路攻擊有關，這是第一次被指控針對零售商店。根據安全公司 Group-IB 的報告，Lazarus 在 2017 年至 2018 年間，成功竊取了價值6億美元的加密貨幣。

竣盟科技官網:

https://www.billows.com.tw/

竣盟科技line@

參考資料：

Source: https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-credit-card-stealing-attacks-on-us-stores/

*****竣盟科技快報歡迎轉載，但請註明出處。