Pod koniec lipca 2020 roku serwisy technologiczne opisywały problemy, jakie dotknęły firmę Garmin. Awarii uległy różne usługi, w tym synchronizacja urządzeń z chmurą i narzędzi dla pilotów. Brak dokładnych informacji wywołał wiele spekulacji. Postanowiliśmy nie oceniać zbyt szybko sytuacji i poczekać na konkretne dane.
W swoim oficjalnym oświadczeniu firma Garmin potwierdziła, że padła ofiarą cyberataku, w wyniku którego usługi internetowe przestały działać, a część systemów wewnętrznych została zaszyfrowana. Z dostępnych informacji wynikało, że atakujący użyli ransomware WastedLocker. Nasi eksperci przeprowadzili szczegółową analizę techniczną tego szkodliwego programu, a poniżej zamieszczamy ich wnioski.
Ransomware WastedLocker
WastedLocker to przykład ransomware ukierunkowanego — czyli szkodliwego programu, które zostało przygotowane z myślą o ataku na konkretną firmę. W informacji z żądaniem okupu atakujący zwracają się do odbiorcy bezpośrednio, a wszystkie zaszyfrowane pliki otrzymują dodatkowe rozszerzenie .garminwasted.
Pliki zostały zaszyfrowane przy użyciu lubianych przez twórców ransomware algorytmów AES i RSA. Podczas szyfrowania plików nie są generowane unikatowe klucze dla każdej infekcji, lecz używany jest jeden publiczny klucz RSA. Jeśli więc dana modyfikacja ransomware zostanie użyta w wielu atakach na różne cele, program do deszyfrowania danych będzie uniwersalny, ponieważ będzie istnieć jeden klucz prywatny.
Ponadto ransomware prezentuje następujące ciekawe cechy:
- priorytetyzowanie szyfrowanych danych — cyberprzestępcy mogą wskazać konkretny folder z plikami, który ma zostać zaszyfrowany jako pierwszy. W ten sposób maksymalizują szkody w przypadku, gdy mechanizmy bezpieczeństwa zdołają zatrzymać szyfrowanie danych, zanim dobiegnie ono końca,
- zdolność szyfrowania plików w zdalnych zasobach sieciowych,
- sprawdzanie uprawnień i przechwycenie biblioteki DLL w celu użycia uprawnień.
Szczegółową analizę ransomware można znaleźć w tym poście opublikowanym w serwisie Securelist.
Co na to firma Garmin?
Jak można przeczytać w zaktualizowanym oświadczeniu firmy Garmin, usługi działają już ponownie, chociaż synchronizacja danych może przebiegać wolniej i w pewnych przypadkach może nadal być ograniczona. To zrozumiałe: urządzenia, które nie mogły synchronizować się ze swoimi usługami chmurowymi przez kilka dni, kontaktują się teraz masowo z firmowymi serwerami, co zwiększa obciążenie.
Garmin informuje, że nie ma dowodów, aby ktoś uzyskał nieautoryzowany dostęp do danych użytkowników w trakcie przebiegu incydentu.
Jak zapewnić sobie bezpieczeństwo przed takimi atakami
Ukierunkowane ataki ransomware na firmy będą się powtarzać. Z tego względu zalecamy zadbanie o stosowny poziom ochrony:
- dbaj o aktualność oprogramowania, zwłaszcza systemu operacyjnego — większość trojanów wykorzystuje znane już luki w zabezpieczeniach;
- używaj protokołu RDP w celu odmowy dostępu publicznego do firmowych systemów (a w razie konieczności używaj technologii VPN);
- naucz pracowników podstaw cyberbezpieczeństwa. Najczęściej padają oni ofiarą zabiegów socjotechnicznych, w wyników których trojany ransomware infekują sieci firmowe;
- używaj zaawansowanych technologicznie rozwiązań zabezpieczających przed ransomware. Nasze produkty wykrywają zagrożenie WastedLocker i zapobiegają infekcji.