圖片來源: 

迪堡多富

駭客發動勒索軟體的攻擊目標,也鎖定大型自動櫃員機(ATM)製造商!資安部落格Krebs on Security揭露,一起針對迪堡多富(Diebold Nixdorf)發動的勒索軟體攻擊事故,造成該公司部分營運受到影響,並指出發動攻擊的勒索軟體是ProLock。針對Kreb on Security的詢問,迪堡多富對於此事做出回應,本起事件只有影響合作廠商的網路,沒有波及自動提款機與客戶網路。我們也向他們的臺灣分公司進行確認,但截稿之前仍無法取得聯繫。

乍聽之下很多人對迪堡多富並不熟悉,但它售出的提款機在你我附近可能就有好幾臺。迪堡多富是一家提供金融業自動化資訊系統的公司,於2016年由迪堡和德利多富(Wincor-Nixdorf)兩家公司合併而成,總部位於美國俄亥俄州北坎頓市,全球有超過2.3萬名員工,宣稱每3臺自動櫃員機就有一臺是他們製造,在90多個國家賣出100萬臺以上的銷售點系統(POS)。在臺灣,有超過半數提款機是該公司出品,單車共享服務YouBike的自助服務機,也是由他們提供。

而在這幾年發生的資安事件中,於2016年7月第一銀行提款機盜領事件,遭到攻擊的設備就是德利多富公司的產品。在此事件之後,自動櫃員機吐鈔攻擊(ATM Jackpotting)不斷於全球各地發生,使得迪堡多富與另一家自動櫃員機製造商NCR於2018年1月,特別針對美國提出警告,表示於2017年10月出現在墨西哥的ATM吐鈔攻擊手法,與當時發生在美國的攻擊事件極為相似,這兩間公司認為,很可能是由相同駭客組織發動的攻擊。

自動櫃員機吐鈔攻擊(ATM Jackpotting)於最近幾年在全球各地接連發生,而使得駭客向美國提款機發動攻擊時,迪堡多富與NCR兩家自動櫃員機製造商都提出警告,要當地銀行小心防範。(圖片來源/趨勢科技)

根據Krebs on Security的報導,事件發生的經過,是在4月25日星期六的傍晚,迪堡多富的資安團隊發現,公司網路出現異常,懷疑是遭到勒索軟體攻擊,該團隊對於遭到惡意程式感染的系統,隨即中斷網路連線。

在Krebs on Security掌握的消息來源指出,超過100個迪堡多富客戶受到波及。對此,Krebs on Security也詢問該公司,得到的回覆,是此起事件並不影響自動櫃員機、客戶網路,或者是社會大眾,對於他們的業務也沒有造成實質影響。再者,迪堡多富的經營團隊親自聯繫客戶,要他們提高警覺並進行防範,同時,該公司也表示,他們沒有依據駭客的要求,支付贖金換回檔案。

受害公司是否付贖金給駭客?資安業者與新聞網站抱持不同看法

至於迪堡多富是受到那種勒索軟體的攻擊?根據Krebs on Security指出,迪堡多富是遭到ProLock勒索軟體攻擊,是一款較為少見的勒索軟體家族,駭客在最近幾個月陸續發動攻擊,並採用不同的名稱來混淆自己的身分。其中,最近一起與這款勒索軟體有關的事件,是今年3月發生在美國伊利諾伊州拉薩爾郡(LaSalle County)政府,當時該勒索軟體稱為PwndLocker,而在資安業者Emsisoft提供解密工具後,攻擊者在後續的行動中,就更換了勒索軟體的名字。

ProLock勒索軟體的前身名為PwndLocker,駭客用來攻擊美國伊利諾伊州拉薩爾郡(LaSalle County)政府,資安業者Emsisoft於3月6日表示他們能提供解密工具,但受害企業必須填寫申請表,並且上傳勒索軟體的可執行檔案,他們才能對症下藥,提供對應的解密工具。(圖片來源/Emsisoft)

根據Bleeping Computer新聞網站指出,濫用PwndLocker的駭客會根據受害企業規模,索討6位數以上的贖金,從175,000美元到660,000美元不等。Emisisoft技術長Fabian Wosar表示,假如迪堡多富真的沒有支付贖金,很有可能是因為駭客的ProLock解鎖工具無法解開大型檔案,使得該公司不能復原資料庫檔案所致。

Fabian Wosar會這麼認為的原因,是因為Emsisoft發現了上述解密器的臭蟲,並且提供對應的工具,讓受害者能在付出贖金之後,也就是取得駭客提供的解密金鑰之際,順利恢復檔案至正常狀態。

值得留意的是,由於大多數企業在周末期間,僅有少數的技數人員留守,像此次事件發生在周末發動攻擊的情況,也日益頻繁。基於相同的理由,駭客也選擇這種時段來鎖定提款機下手,進行鍵盤側錄(Skimming)攻擊。

再者,時下的駭客組織已經改變了運用勒索軟體方式,在加密檔案之前先竊取重要的資料,藉此要脅受害企業,要是不付贖金,就公布公司的機密資料,或是將其流入暗網兜售,通常駭客也會在自己的部落格裡,點名拒絕付錢的受害單位。不過,根據Bleeping Computer經營者Lawrence Abrams表示,此次駭客並未如上述的拉薩爾郡政府事件,對於迪堡多富沒有支付贖金發出公告,也沒有向他揭露已經取得受害單位的機敏資料內容,究竟迪堡多富有沒有向駭客付贖金?顯然有待進一步查證。


Advertisement

更多 iThome相關內容