臺(tái)灣省筆記本電腦制造商仁寶遭到勒索軟件襲擊,被索要1700萬(wàn)美元
技術(shù)編輯:宗恩丨發(fā)自 思否編輯部
公眾號(hào):SegmentFault
中國(guó)臺(tái)灣省筆記本電腦制造商仁寶電腦在周末遭受了 DoppelPaymer 勒索軟件攻擊,攻擊者要求將近1700萬(wàn)美元的贖金。作為世界500強(qiáng)企業(yè)仁寶電腦集團(tuán),是全球最大的筆記本電腦制造商,2018年7月,仁寶電腦在"2018年《財(cái)富 》世界500強(qiáng)"中排行第404位。2019年7月“發(fā)布2019《財(cái)富》世界500強(qiáng),仁寶電腦位列390位。
這也不是 DoppelPaymer 第一次「出名」,數(shù)據(jù)顯示過(guò)去受DoppelPaymer襲擊的其他受害者包括加利福尼亞的托倫斯市、紐卡斯?fàn)柎髮W(xué)、喬治亞州的霍爾縣和不列塔尼電信、智利的農(nóng)業(yè)部等。
勒索票據(jù)證實(shí)仁寶電腦遭入侵
近日中國(guó)臺(tái)灣省媒體報(bào)道仁寶電腦遭受了網(wǎng)絡(luò)攻擊,但該筆記本電腦制造商聲稱(chēng)這只是其辦公自動(dòng)化系統(tǒng)中的“異常”。
仁寶電腦盧慶雄說(shuō):"主要原因是辦公室自動(dòng)化系統(tǒng)出現(xiàn)異常。該公司懷疑遭到黑客入侵。已緊急修復(fù)了大部分漏洞,并有望在今天恢復(fù)正常。盧慶雄還強(qiáng)調(diào),仁寶沒(méi)有像外界所報(bào)道的那樣被黑客勒索,目前生產(chǎn)一切正常。”
不過(guò)外媒 BleepingComputer 通過(guò)「勒索票據(jù)」確認(rèn)仁寶電腦遭受了DoppelPaymer勒索軟件攻擊。
仁寶勒索票據(jù)
DoppelPaymer 勒索軟件
DoppelPaymer勒索軟件,以獲取企業(yè)管理員憑據(jù)的訪問(wèn)權(quán)限并使用它們?cè)谡麄€(gè)Windows網(wǎng)絡(luò)中傳播,再攻擊企業(yè)目標(biāo)而聞名。一旦他們獲得對(duì)Windows域控制器的訪問(wèn)權(quán)限,便將勒索軟件有效負(fù)載部署到網(wǎng)絡(luò)上的所有設(shè)備。
根據(jù)贖金記錄中鏈接的 DoppelPaymer Tor 付款網(wǎng)站,勒索軟件團(tuán)伙要求提供1,100比特幣(約合16,725,500.00美元)才能接收解密器。
DoppelPaymer贖金需求
根據(jù)贖金記錄和 DoppelPaymer 的過(guò)去歷史,攻擊者可能會(huì)竊取未加密的數(shù)據(jù)作為攻擊的一部分。
然后,這些被盜的數(shù)據(jù)將用作雙重勒索策略,在這種策略中,勒索軟件團(tuán)伙威脅說(shuō),如果不支付贖金,就會(huì)釋放數(shù)據(jù)泄漏站點(diǎn)上的文件。不過(guò)勒索的贖金是「起步」價(jià),根據(jù)以往的案例來(lái)說(shuō),最終雙方談妥的價(jià)格通常要比這個(gè)價(jià)格低很多。
如何應(yīng)對(duì)
DoppelPaymer 病毒起源于 BitPaymer,但比 BitPaymer 更加兇狠,大量證據(jù)顯示,很可能是操作 DoppelPaymer 的威脅行為者從此前擁有 Bitpaymer 的犯罪組織中分裂了出來(lái),開(kāi)啟了專(zhuān)屬于自己的犯罪道路。
對(duì)于企業(yè)和普通用戶(hù)來(lái)說(shuō)做好安全防護(hù)工作才是最主要的,DopplePaymer使用閃電般的有效載荷在不到7秒的時(shí)間內(nèi)對(duì)主機(jī)執(zhí)行超過(guò)2000次惡意操作。這意味著,傳統(tǒng)的檢測(cè)和響應(yīng)方法無(wú)法防止這種攻擊,而防御者對(duì)勒索軟件的響應(yīng)往往是在勒索軟件達(dá)到其目標(biāo)后才開(kāi)始。
防御者要集中管理設(shè)備配置遵從性的評(píng)估,實(shí)施對(duì)于減少攻擊面非常重要,不兼容的設(shè)備應(yīng)該重新配置和加固。加強(qiáng)連接、強(qiáng)制磁盤(pán)加密和端口控制將減少勒索軟件的攻擊面。修補(bǔ)程序管理也非常關(guān)鍵。
當(dāng)然對(duì)人也要加強(qiáng)管理,特別是提高人對(duì)電子郵件安全性的意識(shí)。對(duì)入站或存檔電子郵件進(jìn)行URL掃描,直到對(duì)網(wǎng)站進(jìn)行惡意軟件檢查后才允許點(diǎn)擊目標(biāo)網(wǎng)站;在發(fā)送郵件之前,檢測(cè)郵箱中帶有攻擊附件的郵件,并在點(diǎn)擊前重定向到沙箱,防止假冒域名竊取和掩蓋。做到這些就能大大的降低被勒索的風(fēng)險(xiǎn)。
