By در اواخر ژوئیه سال 2020 ، سایت های خبری فناوری با مقالاتی در مورد گرمین در حال پر کردن بودند. سرویس های مختلف گارمین از جمله همگام سازی دستگاه با ابر و ابزار برای خلبانان غیرفعال شده است. کمبود اطلاعات دقیق ، همه را تئوریزه کردن وحشیانه قرار داده است. از طرف ما ، ما تصمیم گرفتیم تا قبل از ارزیابی وضعیت منتظر برخی از داده های مشخص باشیم.
گارمین در بیانیه رسمی خود تأیید کرد که به حمله سایبری حمله کرده است که خدمات آنلاین را قطع کرده و برخی سیستم های داخلی را رمزگذاری کرده است. اطلاعات موجود در زمان این نوشتن نشان می دهد که مهاجمان از باج افزار WastedLocker استفاده کرده اند. متخصصان ما تجزیه و تحلیل فنی مفصلی از بدافزار انجام داده اند و در اینجا یافته های اصلی آنها وجود دارد.
WansedLocker ransomware
WastedLocker نمونه ای از باج افزارهای هدفمند است – بدافزارها برای حمله به یک شرکت خاص. پیام باج به اسم قربانی ارجاع شد ، و کلیه پرونده های رمزگذاری شده پسوند اضافی را نیز به دست آوردند. پرونده ها با استفاده از الگوریتم های AES و RSA رمزگذاری شدند ، که سازندگان باج افزار اغلب از آنها استفاده می کنند. با این وجود ، از یک کلید عمومی RSA برای رمزگذاری پرونده ها استفاده می شود ، به جای آنکه برای هر آلودگی منحصر به فرد ایجاد شود. به عبارت دیگر ، اگر این اصلاح باج افزار علیه چندین هدف استفاده می شود ، برنامه رمزگشایی داده ها از اهداف کلی است ، زیرا باید یک کلید خصوصی نیز وجود داشته باشد.
علاوه بر این ، باج افزار ویژگی های کنجکاوی زیر را نشان می دهد. :
- اولویت بندی رمزگذاری داده ها ، به این معنی که مجرمان سایبری می توانند یک فهرست خاص از پرونده ها را برای رمزگذاری در ابتدا مشخص کنند. این امر حداکثر خسارت را ایجاد می کند در صورتی که مکانیسم های امنیتی قبل از تکمیل رمزگذاری داده ها را متوقف کنند ؛
- پشتیبانی از رمزگذاری پرونده در منابع شبکه از راه دور ؛
- بررسی خصوصیات و استفاده از ربودن DLL برای افزایش امتیاز.
از باج افزار موجود در WastedLocker: پست تجزیه و تحلیل فنی در Securelist.
Garmin چگونه کار می کند؟
طبق بیانیه به روز شده این شرکت ، خدمات دوباره اجرا می شوند ، اگرچه هماهنگ سازی داده ها ممکن است کند باشد و هنوز در برخی افراد محدود است. موارد این قابل درک است: دستگاه هایی که چندین روز نتوانستند با سرویس های ابری خود همگام شوند ، هم اکنون با سرورهای شرکت تماس می گیرند و بار را افزایش می دهند.
گارمین گزارش می دهد که هیچ مدرکی وجود ندارد که کسی در طی این حادثه دسترسی غیرمجاز به داده های کاربر داشته باشد.
نحوه محافظت در برابر چنین حملاتی
حملات هدفمند باج افزار به شرکت ها برای ماندن اینجاست. در این صورت ، توصیه های ما برای محافظت از آنها نسبتاً استاندارد است:
- همیشه نرم افزار را به روز نگه دارید ، به خصوص سیستم عامل – بیشتر Trojans از آسیب پذیری های شناخته شده سوء استفاده می کنند ؛
- از RDP برای انکار دسترسی عمومی به سیستم های شرکت استفاده کنید (یا در صورت لزوم ، از یک VPN استفاده کنید) ؛
- به کارمندان در اصول امنیت سایبری آموزش دهید. بیشتر اوقات ، این کار مهندسی اجتماعی برای کارمندان است که به Trojan اجازه می دهد تا با استفاده از نرم افزارهای مخرب Trojans را آلوده کند تا شبکه های شرکت ها را آلوده کند ؛
- از راه حل های امنیتی پیشرو با فناوری های ضد ویروس پیشرفته استفاده کنید. محصولات ما WastedLocker را تشخیص داده و از عفونت جلوگیری می کنند.
عملکرد (f ، b ، e ، v ، n ، t ، s) {if (f.fbq) بازگشت؛ n = f.fbq = عملکرد () {n.callMethod ؟
n.callMethod.apply (n ، argument): n.queue.push (آرگومان)}؛ if (! f._fbq) f._fbq = n؛
n.push = n؛ n.loaded =! 0؛ n.version = '2.0'؛ n.queue = []؛ t = b.createElement (e)؛ t.async =! 0؛
t.src = v؛ s = b.getElementsByTagName (e) [0]؛ s.parentNode.insert قبل از (t ، s)} (پنجره ،
سند ، "اسکریپت" ، "// connect.facebook.net/en_US/fbevents.js")؛
fbq ('اولیه' ، '839281392784015')؛
fbq ('track'، 'PageView')؛
(function (d، s، id) {var js، fjs = d.getElementsByTagName (s) [0]؛ if (d.getElementById (id)) {Return js = d.createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛
