El colapso del servicio de cuatro días de Garmin fue causado por ransomware


  Logotipo de Garmin en una pared oscura.

El proveedor de dispositivos y servicios GPS Garmin confirmó el lunes que la interrupción mundial, en la que la gran mayoría de sus ofertas fueron suspendidas durante cinco días, fue causada por un ataque de ransomware.

"Garmin Ltd. fue víctima de un ciberataque en el que algunos de nuestros sistemas fueron encriptados el 23 de julio de 2020 ”, escribió la compañía en una publicación el lunes por la mañana. “Como resultado, muchos de nuestros servicios en línea se han interrumpido, incluidas las funciones del sitio web, la atención al cliente, las aplicaciones centradas en el cliente y las comunicaciones corporativas. Inmediatamente comenzamos a evaluar la naturaleza del ataque y comenzamos a remediarlo. “La compañía no creía que los datos personales fueran recopilados de los usuarios.

Los problemas de Garmin comenzaron tarde el miércoles o temprano el jueves por la mañana cuando los clientes informaron que no podían usar una variedad de servicios. Más tarde el jueves, la compañía anunció que Garmin Connect, FlyGarmin, centros de servicio al cliente y otros servicios habían fallado. Debido al error del servicio, millones de clientes no pudieron conectar sus relojes inteligentes, rastreadores de estado físico y otros dispositivos a servidores que proporcionaban datos específicos de la ubicación que eran necesarios para su trabajo. La contribución del lunes fue la primera vez que la compañía fue la causa del corte global.

Algunos empleados de la compañía pronto visitaron sitios de redes sociales para informar que Garmin fue asesinado en un ataque de ransomware que explotó vulnerabilidades o configuraciones erróneas en la red de una compañía. Los operadores de ransomware a menudo pasan días o semanas adentro, roban contraseñas en secreto y asignan topologías de red. Finalmente, los atacantes cifran todos los datos y exigen un rescate, que la criptomoneda paga a cambio de la clave de descifrado.

El bien llamado Evil Corp.

Las capturas de pantalla y otros datos publicados por los empleados sugirieron que el ransomware era una cepa relativamente nueva llamada WastedLocker. Una persona con conocimiento directo de la respuesta del fin de semana de Garmin confirmó que WastedLocker era el ransomware utilizado. La persona habló bajo condición de anonimato para discutir un asunto confidencial.

WastedLocker se hizo público por primera vez el 10 de julio cuando el proveedor de antimalware Malwarebytes publicó este breve perfil. Se dice que los ataques WastedLocker están altamente dirigidos a organizaciones preseleccionadas. Durante la primera intrusión, el malware realiza un análisis detallado de la defensa activa de la red para que las penetraciones posteriores puedan sortearla mejor.

El investigador de Malwarebytes Pieter Arntz escribió:

En general, podemos ver que esta pandilla ha encontrado acceso a su red, es imposible evitar que cifren al menos parte de sus archivos. Lo único que puede ayudarlo a guardar sus archivos en tal caso es si tiene tecnología de reversión o alguna forma de copia de seguridad fuera de línea. Con las copias de seguridad en línea u otras relacionadas, existe la posibilidad de que sus archivos de copia de seguridad también se cifren, lo que tiene sentido cuestionarlos. Tenga en cuenta que las tecnologías de reversión dependen de la actividad de los procesos que supervisan sus sistemas. Y existe el riesgo de que estos procesos estén en la lista de objetivos de la pandilla de ransomware. Esto significa que estos procesos se cerrarán tan pronto como obtengan acceso a su red.

Una vez que WastedLocker se ha establecido en una red, los requisitos generalmente oscilan entre $ 500,000 y $ 10 millones. El nombre del ransomware se deriva de la extensión "desperdiciada", que se agrega a los nombres de archivos cifrados y contiene una abreviatura para el nombre de la víctima. Cada archivo encriptado viene con su propio archivo que contiene una nota de rescate que se adapta al destino.

El anuncio del lunes de Garmin no utilizó las palabras ransomware o WastedLocker. Sin embargo, la descripción "ataque cibernético que cifró algunos de nuestros sistemas" casi finalmente confirmó que el ransomware de un tipo u otro era la causa.

Según Malwarebytes y otras organizaciones de investigación, las similitudes entre WastedLocker y una parte anterior de Die Malware, conocida como Dridex, vinculaban el ransomware con un grupo criminal organizado de Rusia, conocido como Evil Corp. es conocida.

A fines del año pasado, los fiscales acusaron al supuesto Kingpin Maksim V. Yakubets de Evil Corp. de usar Dridex para retirar más de $ 70 millones de cuentas bancarias en los Estados Unidos, el Reino Unido y otros países. El mismo día que la fiscal estatal presentó su cargo de 10 puntos, el Departamento del Tesoro de los Estados Unidos sancionó a Evil Corp. como parte de una acción coordinada para interrumpir el grupo de hackers con sede en Rusia, que el departamento dijo que había retirado $ 100 millones de organizaciones en 40 países.

Citando un número no revelado de fuentes de seguridad, Sky News informó que Garmin había recibido la clave de descifrado. El informe fue consistente con lo que dijo la persona con conocimiento directo Ars. Sky News dijo que Garmin "no hizo un pago directamente a los piratas informáticos", pero no entró en detalles. Los representantes de Garmin declinaron confirmar que el malware era WastedLocker y si la compañía pagó un rescate. Las acciones del Tesoro podrían aumentar la ya difícil posición de Garmin y otras víctimas de Evil Corp. complicarse al permanecer abierto a acciones legales al pagar a la banda criminal para que devuelva los datos cifrados.

El sol también está saliendo

El lunes, Garmin comenzó lentamente a restaurar los servicios basados ​​en la ubicación. En el momento de esta publicación de Ars, esta página mostró que Garmin Connect había regresado con una funcionalidad limitada para funciones como desafíos y conexiones, cursos, resumen diario, Garmin Coach, Strava, sincronización de terceros, sincronización de bienestar y entrenamientos. Garmin Drive, Live Track, detalles de actividad y cargas han sido completamente restaurados. FlyGarmin y Garmin Pilot, que ofrecen navegación de pilotos y otros servicios, también volvieron a estar en línea.

El fracaso de Garmin destaca el gran flagelo en que se ha convertido el ransomware desde su lanzamiento en 2013, principalmente como una novedad de malware. El ransomware no solo le costó a los gobiernos de EE. UU., A los proveedores de atención médica y a las instituciones educativas un total de $ 7,5 mil millones el año pasado. La interrupción resultante puede resultar en que los hospitales rechacen a los pacientes que buscan atención de emergencia, interfieran peligrosamente con infraestructuras críticas y creen dificultades para millones de usuarios finales. El ataque que Garmin ha tenido poco que ver con la suposición de que la policía y la industria de la seguridad se acercan a esta amenaza creciente.

Publicación actualizada para agregar detalles al informe de Sky News.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *