El colapso del servicio de cuatro días de Garmin fue causado por ransomware

Logotipo de Garmin en una pared oscura.

El proveedor de servicios y dispositivos GPS Garmin confirmó el lunes que la interrupción mundial que provocó la caída de la gran mayoría de sus ofertas durante cinco días fue causada por un ataque de ransomware.

«Garmin Ltd. fue víctima de un ciberataque que cifró algunos de nuestros sistemas el 23 de julio de 2020», escribió la compañía en una publicación el lunes por la mañana. “Como resultado, muchos de nuestros servicios en línea se han descontinuado, incluidas las funciones del sitio web, la atención al cliente, las aplicaciones para el cliente y las comunicaciones de la empresa. Inmediatamente comenzamos a evaluar la naturaleza del ataque y comenzamos la remediación. ”La empresa dijo que no cree que la información personal de los usuarios haya sido robada.

Los problemas de Garmin comenzaron el miércoles o el jueves por la mañana, ya que los clientes informaron que no podían usar una variedad de servicios. Más tarde el jueves, la empresa dijo estaba experimentando una interrupción de Garmin Connect, FlyGarmin, los centros de atención al cliente y otros servicios. La falla del servicio ha dejado a millones de clientes sin poder conectar sus relojes inteligentes, rastreadores de actividad y otros dispositivos a los servidores que proporcionaron los datos basados ​​en la ubicación necesarios para que funcionen. La publicación del lunes fue la primera vez que la compañía informó la causa de la interrupción mundial.

Algunos empleados de la empresa pronto accedieron a los sitios de las redes sociales para informar que Garmin fue derribado por un ataque de ransomware, que explota vulnerabilidades o configuraciones incorrectas para infiltrarse en la red de la empresa. Los operadores de ransomware a menudo pasan días o semanas en el interior, robando sigilosamente contraseñas y mapeando topologías de red. Finalmente, los atacantes cifran todos los datos y exigen un rescate pagado con criptomonedas a cambio de la clave de descifrado.

Evil Corp apropiadamente nombrado

Las capturas de pantalla y otros datos publicados por los funcionarios sugirieron que el ransomware era una variedad relativamente nueva llamada WastedLocker. Una persona con conocimiento directo de la respuesta de Garmin durante el fin de semana confirmó que WastedLocker fue el ransomware utilizado. La persona habló bajo condición de anonimato para discutir el asunto confidencial.

Publicidad

WastedLocker llamó la atención del público el 10 de julio, cuando el proveedor de antimalware Malwarebytes publicó este breve perfil. Dijo que los ataques de WastedLocker están altamente dirigidos contra organizaciones elegidas de antemano. Durante la invasión inicial, el malware realiza un análisis detallado de las defensas activas de la red para que las penetraciones posteriores puedan sortearlas mejor.

El investigador de Malwarebytes, Pieter Arntz, escribió:

En general, podemos decir que si esta banda encuentra una entrada en su red será imposible evitar que encripte al menos parte de sus archivos. Lo único que puede ayudarlo a guardar sus archivos en este caso es si tiene la tecnología de reversión o una forma de copias de seguridad fuera de línea. Con copias de seguridad en línea o conectadas de otra manera, tiene la posibilidad de que sus archivos de copia de seguridad también estén cifrados, lo que hace que el objetivo de tenerlos sea discutible. Tenga en cuenta que las tecnologías de reversión dependen de la actividad de los procesos que monitorean sus sistemas. Y existe el peligro de que estos procesos estén en la lista de objetivos de la banda de ransomware. Lo que significa que estos procesos se cerrarán tan pronto como obtengan acceso a su red.

Una vez que WastedLocker se ha establecido en una red, las demandas suelen oscilar entre $ 500.000 y $ 10 millones. El nombre del ransomware se deriva de la extensión «desperdiciada» adjunta a los nombres de los archivos cifrados, que incluye una abreviatura del nombre de la víctima. Cada archivo cifrado viene con su propio archivo separado que contiene una nota de rescate personalizada para el destino específico.

La advertencia de Garmin el lunes no usó las palabras ransomware o WastedLocker. Sin embargo, la descripción del «ciberataque que cifró algunos de nuestros sistemas» casi confirma que el ransomware de un tipo u otro era la causa.

Según Malwarebytes y otras organizaciones de investigación, las similitudes entre WastedLocker y un malware anterior conocido como Dridex vinculaban al ransomware a un grupo del crimen organizado ruso conocido como Evil Corp.

A fines del año pasado, los fiscales federales acusaron al presunto jefe de Evil Corp. Maksim V. Yakubets por usar Dridex para drenar más de $ 70 millones de cuentas bancarias en los EE. UU., Reino Unido y otros países. El mismo día en que los fiscales presentaron una acusación formal de 10 cargos, el Departamento del Tesoro de EE. UU. Sancionó a Evil Corp. como parte de una acción coordinada dirigida a interrumpir el grupo de piratería con sede en Rusia, que según el departamento ha tomado $ 100 millones de organizaciones en 40 países.

Citando una cantidad no identificada de fuentes de seguridad, Sky News informó que Garmin obtuvo la clave de descifrado. El informe se alineó con lo que la persona con conocimiento directo le dijo a Ars. Sky News dijo que Garmin «no hizo un pago directo a los piratas informáticos», pero no dio más detalles. Los representantes de Garmin se negaron a proporcionar una confirmación de que el malware era WastedLocker y que la compañía pagó algún rescate. La acción del Tesoro podría complicar la posición ya difícil de Garmin y otras víctimas de Evil Corp., dejándolos expuestos a demandas si pagan a la banda criminal por devolver los datos cifrados.

El sol también se eleva

El lunes, Garmin comenzó a restaurar lentamente los servicios basados ​​en la ubicación. En el momento en que se publicó esta publicación en Ars, esta página mostraba que Garmin Connect había regresado con recursos limitados para recursos, incluidos desafíos y conexiones, cursos, resumen diario, entrenador de Garmin, Strava, sincronización de terceros, sincronización de bienestar y ejercicios. Garmin Drive, Live Track, los detalles de la actividad y las cargas se han restaurado por completo. FlyGarmin y Garmin Pilot, que proporciona navegación y otros servicios para pilotos, también han vuelto a estar en línea.

El cierre de Garmin destaca el gran flagelo en el que se ha convertido el ransomware desde que apareció por primera vez en 2013, principalmente como una novedad de malware. El año pasado, el ransomware no solo costó a los gobiernos, los proveedores de atención médica y las instituciones educativas de EE. UU. Un total de $ 7.5 mil millones, las interrupciones resultantes pueden hacer que los hospitales rechacen a los pacientes que buscan atención de emergencia, intrusión peligrosa infraestructura crítica y dificultades para millones de usuarios finales. El ataque experimentado por Garmin da pocas razones para creer que los funcionarios encargados de hacer cumplir la ley y la industria de la seguridad estén cerca de contener esta creciente amenaza.

Publicación actualizada para agregar detalles sobre el informe Sky News.