Garmin ha pagato un riscatto!
Garmin, una società di fitness tracker e dispositivi di navigazione, apparentemente ha pagato un riscatto per riprendersi da un incidente di sicurezza del 23 luglio che ha crittografato diversi dei suoi sistemi, secondo due notizie e analisi di esperti.
BleepingComputer , citando fonti senza nome, riporta che Garmin apparentemente ha pagato per la chiave di decrittazione. Nel frattempo, Sky News riferisce anche che Garmin ha pagato un riscatto utilizzando i servizi di Arete IR, una società di servizi di risposta informatica, riparazione e monitoraggio.
Garmin e Arete IR non hanno risposto alla richiesta di commento del gruppo Media di Information Security.
Ripristino da WastedLocker
WastedLocker, una varietà di ransomware che secondo quanto riferito ha chiuso le operazioni di Garmin per diversi giorni a luglio, è progettata per evitare strumenti di sicurezza all'interno dei dispositivi infetti, secondo un'analisi tecnica di Sophos . A giugno e luglio, diverse società di ricerca hanno pubblicato rapporti su WastedLocker, rilevando che il ransomware sembra collegato al gruppo criminale informatico Evil Corp, originariamente noto per il suo utilizzo del trojan bancario Dridex.
"Poiché WastedLocker non ha vulnerabilità di sicurezza note nel modo in cui esegue la sua crittografia, è improbabile che Garmin abbia ottenuto una chiave di decrittazione funzionante che sia veloce in qualsiasi altro modo ma pagando il riscatto", dice Chris Clements, vice presidente dell'architettura delle soluzioni per Cerberus Sentinel, ISMG.
Fausto Oliveira, principale architetto della sicurezza presso la ditta di sicurezza Acceptto, aggiunge: "Quello che credo sia successo è che Garmin non è stato in grado di recuperare i propri servizi in modo tempestivo. Quattro giorni di interruzione sono troppo lunghi se utilizzano qualsiasi tipo affidabile di backup e meccanismi di ripristino. Ciò potrebbe essere dovuto al fallimento della strategia di backup per il ripristino di emergenza o all'invasione nella misura in cui anche le origini di backup sono state compromesse. "
Caroline Thompson, responsabile della sottoscrizione di Cowbell Cyber, una società di valutazione del rischio, afferma che Garmin potrebbe aver concluso che era più economico pagare un riscatto piuttosto che affrontare i costi di riparazione dei danni, interruzione dell'attività, perdita di entrate e altre spese.
"In passato Evil Corp ha dimostrato che il proprio software è privo di vulnerabilità di sicurezza facilmente identificabili. Ciò, combinato con il breve lasso di tempo, suggerisce fortemente che Garmin abbia pagato la tassa di riscatto per ottenere la chiave di decrittazione", afferma Clements.
Garmin offre dettagli imprecisi
Nei giorni seguenti l'attacco del 23 luglio, Garmin riferì che l'incidente aveva interrotto le funzioni del sito Web dell'azienda, l'assistenza clienti, le applicazioni rivolte al cliente e le comunicazioni dell'azienda. Il 24 luglio il sito Web dell'azienda è stato nuovamente accessibile ma ha visualizzato questo messaggio: "Al momento stiamo riscontrando un'interruzione che riguarda Garmin.com e Garmin Connect".
Quattro giorni dopo, Garmin ha rilasciato la sua prima dichiarazione ufficiale, dicendo che è stato vittima di un "attacco informatico" che ha crittografato alcuni dei suoi sistemi.
Una nota pubblicata sulla sua homepage mercoledì afferma: "Siamo lieti di segnalare che molti dei sistemi e servizi interessati dalla recente interruzione, incluso Garmin Connect, stanno tornando in funzione. Alcune funzioni hanno ancora limitazioni temporanee mentre tutti i dati vengono elaborato. Vorremmo ringraziare tutti i nostri clienti per la pazienza e la comprensione. "
La società afferma che non è stato possibile accedere, smarrire o rubare i dati dei clienti, incluse le informazioni di pagamento di Garmin Pay. Questa mancanza di esfiltrazione di dati è comune negli attacchi WastedLocker (vedi: La campagna "WastedLocker" di Evil Corp richiede grossi riscatti ).
Tracciamento del pagamento
Se Garmin continua a essere a corto di informazioni sui dettagli dell'incidente, verificare quanto del riscatto di una criptovaluta pagato potrebbe rivelarsi difficile, afferma Oliveira di Acceptto.
Alcune aziende offrono servizi di tracciamento delle transazioni in criptovaluta per aiutare le agenzie legali a individuare dove sono andati i soldi, ma i criminali informatici possono usare strumenti per contrastare tale tracciamento, dice.
"Ciò include l'utilizzo di money mules per distribuire ulteriormente il denaro e creare vuoti d'aria tra il mittente e il destinatario di tali fondi", afferma Oliveira. "Inoltre, servizi come Monero e Zcash hanno opzioni integrate per migliorare l'anonimizzazione delle transazioni. Ciò rende più difficile, se non impossibile, un'indagine legale."