020 年似乎是不太平静的一年,不仅有新冠病毒肆虐全球,勒索病毒的攻击也屡见不鲜。继七月底Garmin 惊爆遭到勒索软件入侵,全球线上服务断线四天后,又一旅游巨头再传遭骇。
这家遭骇的公司是嘉信力旅游公司(Carlson Wagonlit,以下称CWT),是全美前五大的旅游公司,年净利润高达了1.5亿美元。据《路透社》报导,流出的对话纪录,CWT已经向骇客支付450万美元等值比特币的赎金。
骇客使用了Ragnar Locker的勒索软件。就像其他的勒索软件一样,这种病毒会藏匿在用户下载的档案中,并将文件加密。受害者唯一能解锁的方式就是和骇客妥协,支付赎金。
据悉,CWT 一共有2TB 的资料被加密,包括员工文件、财务数据等等。骇客在一开始要求的赎金是1,000 万美元,该公司的谈判代表表示,目前公司正受到新冠疫情流行的影响,无法支付1,000 万美元的赎金。
在和黑客多次在线协商后, CWT 最终在7 月28 日支付了约414 颗比特币,当时价格约为450 万美元等值的比特币。
该公司在声明中仅轻描淡写地表示:
我们暂时先关闭系统,作为预防措施,但目前我们系统又恢复成在线状态,整件事件已经落幕了。虽然现在只是调查的初期阶段,但现在没有迹象表明用户、旅客的讯息有任何的损失。
小心了!Ragnar Locker是新型态的勒索软件
现在普遍认为,Ragnar Locker是去年底才出现的新品种病毒,据科技媒体《iThome》的报导,这个勒索软件会在Windows XP VM环境下执行Oracle VirtualBox,这样就可以在防毒软件侦测不到的「安全环境」中执行。
资安公司Sophos 的研究人员指出,骇客在受害者的电脑植入Ragnar Locker 后,会先从目标电脑上窃取资料,然后再加密文件。
Ragnar Locker攻击方法有二:一是利用代管服务供应商的系统漏洞,或市攻击Windows Remote Desktop Protocol(RDP)连线以骇入目标网路。另一个比较新颖的方法则是「群组管理句GPO」,骇客利用GPO程式执行从远端伺服器下载并安装内含Ragnar Locker 病毒的套件。
而CWT 并不是第一个受害的公司。在四月时,能源公司葡萄牙能源(Energias de Portugal)就已率先遭到公司,骇客向该公司勒索1,580 颗比特币(约1,110 万美元)。
支付赎金可能无法解决问题
事实上,类似的勒索软件已经进步到除了加密文件外,还可以备份受害人的用户资料。
受害人如果决定要支付赎金,首先要确定骇客有能力解锁加密的档案。现在有很多骇客其实是在暗网上购买勒索软件,他们自身是无法解密的。数据指出,有五分之一的公司在支付赎金后,没有获得解密文件的密码。
因此最好的方法是传一个加密的档案给骇客,看他是否有能力可以解密。
考量到所加密和泄漏的资讯的重要性,付赎金其实也是选项之一。就如同这次的CWT 公司在考量到时间成本(调查、诉讼)以及资料的重要性,他们认为支付赎金是较「便宜」的选项。
需要注意的是,在选择支付赎金这条路后,骇客可能会瞄准其它姐妹公司,或是相关企业,因为他们现在已经知道这类公司会选择息事宁人。当然,预防胜于治疗。部落格《Smartfense》的作者桑榭就认为,企业应该发展出一个多层次导向的保全机制,每一层机制都必须应该要让公司可以免于一或多次攻击。