2020年仿佛是一场动荡不安的一年,全球范围内不仅新冠病毒横行肆虐,勒索病毒也频繁出现。在七月底,知名品牌Garmin遭遇勒索软件的入侵,导致全球线上服务在断线四日后才得以恢复,而紧接着,又一家旅游业的巨头遭遇了黑客攻击。
这家不幸的企业正是嘉信力旅游公司(Carlson Wagonlit,以下简称CWT),作为全美五大旅游公司之一,其年净利润高达1.5亿美元。据《路透社》报道,泄露的对话记录显示,CWT已向黑客支付了450万美元等值的比特币作为赎金。
黑客使用了Ragnar Locker勒索软件。与其它勒索软件类似,这种病毒会在用户下载的文件中潜伏,并对文件进行加密。受害者唯一的解救途径便是向黑客妥协,支付赎金。
据悉,CWT有2TB的数据遭到加密,包括员工文件、财务数据等。黑客最初要求的赎金为1000万美元,但CWT的谈判代表表示,由于新冠疫情的影响,公司目前无法支付这笔赎金。
经过多次在线协商后,CWT最终在7月28日支付了约414颗比特币,当时价值约450万美元。
公司在声明中仅简单表示:
我们暂时关闭系统作为预防措施,但现在系统已恢复在线状态,整件事件已经结束。虽然目前处于调查初期,但尚未发现用户或旅客信息有任何损失。
警惕!Ragnar Locker是新型勒索软件
普遍认为,Ragnar Locker是一种去年年底出现的新型勒索软件,据科技媒体《iThome》报道,这种病毒可以在Windows XP VM环境下执行Oracle VirtualBox,从而在防毒软件无法检测到的“安全环境”中运行。
Sophos的研究人员指出,黑客在受害者的电脑上植入Ragnar Locker后,会先窃取数据,然后再加密文件。
Ragnar Locker的攻击方法主要有两种:一是利用代管服务供应商的系统漏洞,或攻击Windows Remote Desktop Protocol(RDP)以入侵目标网络。另一种新颖的方法是利用“群组策略对象GPO”,黑客通过GPO程序从远程服务器下载并安装包含Ragnar Locker病毒的软件包。
CWT并非第一个受害的公司。今年4月,能源公司葡萄牙能源(Energias de Portugal)已率先遭到攻击,黑客向该公司勒索1,580颗比特币(约1,110万美元)。
支付赎金可能无法解决问题
事实上,这类勒索软件已发展至不仅能加密文件,还能备份受害者的用户数据。
如果受害者决定支付赎金,首先需要确认黑客有能力解锁加密的文件。目前有很多黑客实际上是在暗网上购买勒索软件,他们自身无法解密。数据显示,有五分之一的公司在支付赎金后,并未获得解密文件的密码。
因此,最好的方法是向黑客发送一个加密的文件,看他是否有能力解密。
考虑到加密和泄露的信息的重要性,支付赎金也是一个选项。正如CWT公司考虑到时间成本(调查、诉讼)以及数据的重要性,他们认为支付赎金是较“划算”的选项。
需要注意的是,在选择支付赎金后,黑客可能会将目标转向其他姐妹公司或相关企业,因为他们已经知道这类公司会选择息事宁人。当然,预防胜于治疗。部落格《Smartfense》的作者桑榭认为,企业应建立一个多层次的安全机制,每一层机制都必须确保公司能够免受一次或多次攻击。
标签: 比特币行情
