Proveedor de Navtech Garmin puede haber cedido a las demandas de los ciberdelincuentes que cifraron sus sistemas con ransomware, según informes de prensa que sugieren que la empresa tiene obtuvo una clave de descifrado para recuperar sus archivos, lo que sugiere que ha pagado o negociado algún tipo de acuerdo.
En un comunicado emitido la noche del lunes 27 de julio, cuatro días después de que sus servicios se desconectaran por primera vez, Garmin finalmente confirmó que había sido víctima de un ataque cibernético, ya que anteriormente había limitado su respuesta a decir que estaba experimentando un corte de energía. Todavía no ha confirmado que haya sido víctima de un incidente de ransomware, aunque esto ahora es casi seguro.
Un portavoz dijo: “Garmin anunció hoy que fue víctima de un ataque cibernético que cifró algunos de nuestros sistemas el 23 de julio de 2020. Como resultado, muchos de nuestros servicios en línea se interrumpieron, incluidas las funciones del sitio web, el soporte al cliente y las aplicaciones orientadas al cliente. y comunicaciones de la empresa. Inmediatamente comenzamos a evaluar la naturaleza del ataque y comenzamos a remediarlo ”, dijo la firma.
“No tenemos indicios de que se haya accedido, perdido o robado ningún dato de clientes, incluida la información de pago de Garmin Pay. Además, la funcionalidad de los productos Garmin no se vio afectada, aparte de la capacidad de acceder a los servicios en línea.
“Los sistemas afectados se están restaurando y esperamos volver a la operación normal en los próximos días. No esperamos ningún impacto material en nuestras operaciones o resultados financieros debido a esta interrupción. A medida que se restauran nuestros sistemas afectados, esperamos algunos retrasos a medida que se procesa la acumulación de información.
«Estamos agradecidos por la paciencia y comprensión de nuestros clientes durante este incidente, y esperamos continuar brindando el excepcional servicio y soporte al cliente que ha sido nuestro sello distintivo y tradición», dijeron.
John Hentrich, CEO de Identidad, dijo eso El ataque ya había causado graves daños a Garmin. «[It] … muestra los efectos a gran escala que un gran ataque puede tener para las empresas. Tener que cerrar el negocio durante varios días no solo afecta el resultado final, sino también la reputación de Garmin con sus clientes que confían en ellos.,» él dijo.
«Esta violación debería ser otra llamada de atención para que las empresas evalúen los protocolos de seguridad que protegen contra ransomware, malware, phishing y ataques de intermediarios. Explorar opciones como la autenticación sin contraseña puede eliminar una superficie de ataque significativa que los piratas informáticos usan para inyectar malware y ransomware «.
Stuart Reed, director del Reino Unido en Cyberdefense naranja, dijo que la interrupción de un día tuvo un gran impacto en los usuarios de Garmin, particularmente dado que ha abordado un número significativo de nuevos usuarios durante el bloqueo de Covid-19.
«Los propios datos de Garmin muestran un fuerte aumento en la cantidad de personas que hacen ejercicio en interiores y participan en deportes amigables con el distanciamiento social como correr y andar en bicicleta», dijo.
“Lo que es particularmente significativo acerca de esta supuesta violación es la naturaleza de los datos involucrados: información extremadamente personal sobre los hábitos diarios de los usuarios. Estos datos se recopilan utilizando un simple reloj de pulsera usado por millones de personas: un reloj conectado a Internet, que recopila grandes cantidades de datos de gran valor para los adversarios.
“Este tipo de incidentes de alto perfil subrayan una vez más que los datos son valiosos y, como tal, los ciberdelincuentes buscarán capitalizar la explotación. La tendencia creciente de estos incidentes probablemente significará que los usuarios piensen detenidamente sobre lo que comparten y en quién confían para procesar sus datos personales. Para las marcas, significa que deben adoptar un enfoque por capas para alcanzar un nivel de madurez de seguridad cibernética que es esencial en el cambiante panorama de amenazas ”.
Es casi seguro que el ataque se llevó a cabo utilizando WastedLocker, un ransomware relativamente nuevo desarrollado por el grupo de amenazas persistentes avanzadas (APT) con sede en Rusia conocido como Evil Corp. Es un sofisticado software utilizado en ataques altamente selectivos, aunque la pandilla Evil Corp aún no se sabe que se hayan tomado datos exfiltrados y filtrados.
Conocidos por varios nombres en la comunidad de seguridad, incluida la doble extorsión, la exfiltración y el cifrado, o los ataques de cifrado posteriores a la intrusión, estos ataques son particularmente peligrosos porque ejercen una presión adicional sobre la víctima para que pague, y garantizan que estarán sujetos a sanciones por infringir las normas de protección de datos.
Denis Legezo, investigador senior de seguridad en Kaspersky, dijo: “Técnicamente hablando, WastedLocker es un ransomware dirigido, lo que significa que sus operadores vienen para empresas seleccionadas en lugar de cada host aleatorio que puedan alcanzar.
«Este no es el único ransomware utilizado de esta manera: Maze y algunas otras familias de ransomware utilizan un esquema similar». Los algoritmos de cifrado en uso no son nada especial para el ransomware: moderno y fuerte. Los operadores del ransomware agregan el nombre de la compañía de la víctima en los mensajes de rescate, los mensajes con información sobre cómo contactar a los malhechores a través de servicios de correo electrónico seguro y similares. Así que es bastante obvio que saben a quién vinieron «.
Kaspersky actualmente monitorea docenas de dominios web relacionados con cepas de malware dirigidas, y en muchos de ellos, ha registrado el servidor como parte de Cobalt Strike, el servicio legítimo de prueba de penetración comercial que también es ampliamente utilizado por los ciberdelincuentes.
Legezo dijo que esta, y otras técnicas utilizadas por los ciberdelincuentes, era similar al tipo más clásico de ataque dirigido a la búsqueda de datos; sin embargo, señaló, hasta el momento en el caso de WastedLocker, no ha observado signos de nada más que cifrado y demandas de rescate. .