Garmins fire-dages service nedsmeltning var forårsaget af ransomware

Udbyder af GPS-tjenester til navigation og bærbare enheder vender tilbage til normal.

, Garmins fire-dages service nedsmeltning var forårsaget af ransomware

GPS-enhed og tjenesteudbyder Garmin mandag bekræftet, at den verdensomspændende udfald, der tog ned langt størstedelen af sine tilbud i fem dage var forårsaget af en ransomware angreb.

“Garmin Ltd. var offer for et cyberangreb,der krypterede nogle af vores systemer juli 23, 2020,” selskabet skrev i en mandag morgen post . “Som følge heraf blev mange af vores onlinetjenester afbrudt, herunder webstedsfunktioner, kundesupport, kundevendte applikationer og virksomhedskommunikation. Vi begyndte straks at vurdere angrebets karakter og begyndte at afs afmægre.” Selskabet sagde, at det ikke troede personlige oplysninger om brugere blev taget.

Garmins problemer begyndte sent onsdag eller tidligt torsdag morgen, da kunderne rapporterede at være ude af stand til at bruge en række tjenester. Senere på torsdag, selskabet sagde, at det oplevede et udfald af Garmin Connect, FlyGarmin, kundesupport centre, og andre tjenester. Tjenestefejlen efterlod millioner af kunder ude af stand til at forbinde deres smartwatches, fitness trackere og andre enheder til servere, der leverede placeringsbaserede data, der kræves for at få dem til at fungere. Mandagens opslag var første gang, at selskabet leverede en årsag til det verdensomspændende udfald.

Nogle medarbejdere i virksomheden snart tog til sociale medier websteder til at rapportere, at Garmin blev taget ned af en ransomware angreb, som udnytter sårbarheder eller fejlkonfigurationer til at grave ind i en virksomheds netværk. Ransomware operatører bruger ofte dage eller uger inde, skjult stjæle adgangskoder og kortlægge netværk topologier. Til sidst, angriberne kryptere alle data og kræve en løsesum betalt af cryptocurrency til gengæld for dekrypteringsnøglen.

Den rammende navn Evil Corp.

Screenshots og andre data indsendt af medarbejdere foreslog ransomware var en forholdsvis ny stamme kaldet WastedLocker. En person med direkte kendskab til Garmins svar i løbet af weekenden bekræftet WastedLocker var ransomware bruges. Personen talte på betingelse af anonymitet for at drøfte en fortrolig sag.

WastedLocker først kom til offentlighedens opmærksomhed på juli 10, når antimalware udbyder Malwarebytes offentliggjort denne korte profil. Det sagde, at WastedLocker angreb er meget målrettet mod organisationer valgt på forhånd. Under den første indtrængen malware udfører en detaljeret analyse af aktive netværk forsvar, således at efterfølgende gennemføringer bedre kan omgå dem.

Malwarebytes forsker Pieter Arntz skrev:

Generelt kan vi sige, at hvis denne bande har fundet en indgang til dit netværk vil det være umuligt at stoppe dem fra at kryptere i det mindste en del af dine filer. Det eneste, der kan hjælpe dig med at redde dine filer i et sådant tilfælde er, hvis du har enten roll-back teknologi eller en form for off-line sikkerhedskopier. Med online, eller på anden måde tilsluttet sikkerhedskopier du kører chancen for din backup-filer bliver krypteret så godt, hvilket gør hele pointen med at have dem moot. Bemærk, at roll-back-teknologierne er afhængige af aktiviteten af de processer, der overvåger dine systemer. Og faren eksisterer, at disse processer vil være på mållisten over ransomware bande. Hvilket betyder, at disse processer vil blive lukket ned, når de får adgang til dit netværk.

Når WastedLocker har taget fat i et netværk, krav typisk spænder fra $ 500.000 til $ 10 millioner. Den ransomware navn er afledt af udvidelsen “spildt”, der er vedlagt krypterede filnavne, som omfatter en forkortelse af ofrets navn. Hver krypteret fil leveres med sin egen separate fil, der indeholder en løsesum notat, der er tilpasset til det specifikke mål.

Garmins meddelelse på mandag ikke bruge ordene ransomware eller WastedLocker. Beskrivelsen “cyberangreb, der krypterede nogle af vores systemer,” dog, alle, men endeligt bekræftet, at ransomware af en eller anden slags var årsagen.

Ifølge Malwarebytes og andre forskningsorganisationer, lighederne mellem WastedLocker og et tidligere stykke malware kendt som Dridex bundet ransomware til en organiseret kriminalitet gruppe fra Rusland kendt som Evil Corp.

I slutningen af sidste år, føderale anklagere opkrævet den påståede Evil Corp kingpin Maksim V. Yakubets for at bruge Dridex at dræne mere end 70 millioner dollars fra bankkonti i USA, Storbritannien og andre lande. Samme dag anklagere indgivet deres 10-count anklageskrift, det amerikanske finansministerium sanktioneret Evil Corp som en del af en koordineret indsats har til formål at forstyrre den russisk-baserede hacker gruppe, som afdelingen sagde havde taget 100 millioner dollars fra organisationer i 40 lande.

Med henvisning til et unavngivent antal sikkerhedskilder rapporterede Sky News, at Garmin fik dekrypteringsnøglen. Rapporten linet op med, hvad den person med direkte viden fortalte Ars. Sky News sagde Garmin “ikke direkte foretage en betaling til hackere,” men ikke uddybe. Garmin repræsentanter afviste at give bekræftelse på, at malware var WastedLocker og hvis virksomheden betalt nogen form for løsesum. Finansministeriets indsats kan komplicere den allerede vanskelige situation for Garmin og andre Evil Corp ofre ved at lade dem åbne for retssager, hvis de betaler kriminalitet bande for tilbagelevering af de krypterede data.

Solen stiger også

Mandag begyndte Garmin langsomt at genoprette lokalitetsbaserede tjenester. På det tidspunkt dette indlæg gik live på Ars, denne side viste, at Garmin Connect var vendt tilbage med begrænsede muligheder for funktioner, herunder Udfordringer & Connections, Kurser, Daglig Summary, Garmin Coach, Strava, Third Party Sync, Wellness Sync, og Træning. Garmin Drive, Live Track, Aktivitetsdetaljer og uploads blev fuldt gendannet. FlyGarmin og Garmin Pilot, som leverer navigation og andre tjenester til piloter, var også kommet tilbage online.

Garmin udfald understreger den største svøbe, at ransomware er blevet siden det først opstod i 2013, stort set som en malware nyhed. Ikke alene har ransomware sidste år koste amerikanske regeringer, sundhedspersonale, og uddannelsesinstitutioner en kombineret $7.5 milliarder,den resulterende forstyrrelser kan forårsage hospitaler til at vende væk patienter, der søger akut behandling, farlig indblanding af kritisk infrastruktur, og trængslerfor millioner af slutbrugere. Angrebet Garmin erfarne giver lidt grund til at tro retshåndhævelse og sikkerhedsindustrien er overalt tæt på at indeholde denne voksende trussel.

Post opdateret for at tilføje oplysninger om Sky News rapport.