23. jūlijā populārais fiziskās sagatavotības un GPS tehnoloģiju uzņēmums Garmin kļuva par upuri šifrējošā izspiedējvīrusa uzbrukumam, kas piespieda uz trim dienām izslēgt uzņēmuma populārākos pakalpojumus, kamēr tā iekšējais tīkls un izstrādes sistēmas tika šifrētas un sagrābtas, lai saņemtu 10 miljonu dolāru izpirkuma maksu.
Šis skandalozais incidents ir jaunākais izspiedējvīrusu mērķuzbrukumu lielām organizācijām arvien augošajā daudzumā.
Garmin uzbruka Trojas zirgs WastedLocker — izspiedējvīruss, kas kopš šā gada pirmās puses ir kļuvis ievērojami aktīvāks.
Šī konkrētā versija bija izstrādāta speciāli uzbrukumam Garmin un ietvēra vairākus neparastus tehniskos elementus.
Pirmais ir lietotāju piekļuves kontroles apiešanas paņēmiens. Pēc palaišanas uzlauztajā ierīcē Trojas zirgs pārbauda, vai tam ir pietiekami lielas privilēģijas. Ja nav, tas mēģinās nemanāmi palielināt savas privilēģijas, piedabūjot oficiālu sistēmas bināro datni palaist Trojas zirga rumpi, kas paslēpts alternatīvā NTFS straumē.
Turklāt no uzbrukuma Garmin izanalizētais WastedLocker paraugs izmantoja vienotu publisko RSA atslēgu — atslēgas veidu, ko izmanto datņu šifrēšanai. Tas varētu būt trūkums, ja ļaunprogrammatūra tiktu plaši izplatīta. Atšifrētājam būtu jāietver tikai viena privātā RSA atslēga, lai atšifrētu ikviena datnes. Taču mērķtiecīgā kampaņā, kāda tā nepārprotami bija šajā gadījumā, vienota RSA atslēga ir efektīva pieeja.
„Šis incidents tikai uzsver augošo tendenci veikt šifrējošo izspiedējvīrusu mērķuzbrukumus lieliem uzņēmumiem atšķirībā no agrākajām plašāk izplatītajām un populārākajām izspiedējvīrusu kampaņām, piemēram, „WannaCry” un „NotPetya”. Lai gan upuru ir mazāk, šie mērķuzbrukumi parasti ir sarežģītāki un postošāki. Un nekas neliecina, ka tuvākajā laikā to skaits samazināsies. Tāpēc ir izšķirīgi svarīgi, lai organizācijas saglabā modrību un veic pašaizsardzības pasākumus,” komentē Andis Šteinmanis, Kaspersky vadītājs Baltijas valstīts.
Lai samazinātu risku inficēties ar WastedLocker un citiem izspiedējvīrusiem, Kaspersky eksperti iesaka rīkoties šādi:
- Izmantot operētājsistēmas un lietotņu visjaunākās versijas.
- Izmantot virtuālo privāto tīklu, lai attāli piekļūtu uzņēmuma resursiem.
- Izmantot modernu galiekārtu drošības risinājumu, ar uzvedības noteikšanas atbalstu un koriģēšanas programmu, kas nodrošina automātisku datņu atriti, kā arī vairākām citām tehnoloģijām, lai aizsargātos pret izspiedējvīrusiem.
- Uzlabot darbinieku kiberdrošības zināšanas.
- Izmantot drošu datu dublēšanas shēmu vai risinājumu.