Most a Garmin okosórákat gyártó cégre csapott le az Evil Corp
Ransomware támadás sújtotta a GPS és okosóra gyártó Garmin-t, aki több mint három napig teljesen offline volt emiatt. Úgy gondolják, hogy a támadást az orosz kiberbűnözőkből álló csoport, az Evil Corp követte el.
A Garmin hétfő reggel kezdte el helyreállítani szolgáltatásait az ügyfeleknek. A támadók 10 millió dolláros váltságdíjat követeltek.
Úgy vélik, hogy a támadás csak egy a sok közül, ami mostanában az amerikai cégeket érinti, és aminek hátterében a kiberbűnözők állítólagos vezetője, Maksim Viktorovich Yakubets (33) áll, akinek fejére 5 millió dolláros vérdíjat tűzött ki az FBI. Ez a nyomravezetői jutalom a legmagasabb, amit valaha kiberbűnözőért kínáltak.
Az Evil Corp tudatosan válassza ki áldozatait
Néhány korábbi súlyos ransomware támadás mögött álló bűnözőktől eltérően, mint például a 2017-es WannaCry és NotPetya kampányok támadói, az Evil Corp nagyon figyel arra, hogy miként választja ki, és támadja meg kiszemeltjeit. Ahelyett, hogy a végfelhasználókat és a kisvállalkozásokat céloznák meg – akiket valószínűleg könnyen megtéveszthetnének rosszindulatú e-mail mellékletekkel, de nem fizetnének jelentős összegű váltságdíjat az adataikért – a szervezet ehelyett a technikai bátorság és a pszichológiai manipuláció keverékét alkalmazza olyan méretes célpontok megtámadására, mint a bankok, médiaszervezetek és technológiai cégek.
A Garmin volt az Evil Corp ransomware támadásának legújabb áldozata. A támadást az NCC kiberbiztonsági cég kutatói WastedLocker -nek nevezték el. Az NCC elemzője, Stefano Antenucci szerint a rosszindulatú programokat, amelyeket ez év májusában láttak először, szelektíven alkalmazzák. „Jellemzően fájlszervereket, adatbázis-szolgáltatásokat, virtuális gépeket és felhő-környezeteket támadnak.”
„Természetesen ezeket a választásokat erősen befolyásolja az is, hogy mit nevezünk az ‘üzleti modelljüknek’ – ami azt is jelenti, hogy képeseknek kell lenniük letiltani vagy megszakítani a biztonsági mentési alkalmazásokat és a kapcsolódó infrastruktúrát. Ez megnöveli az áldozat rendszerének helyreállítási idejét. Néhány esetben az offline vagy a távoli biztonsági mentések hiánya miatt akár teljesen megakadályozhatja a helyreállítást is.”
Vajon hogyan lett a Garmin is áldozat?
Míg a WannaCry és a NotPetya a Microsoft Windows sebezhetőségét használta ki a számítógépek automatikus megfertőzéséhez, a WastedLocker terjesztése célzottabb módon történik. Még nem ismert, hogy a Garmin miként esett a támadás áldozatává július elején. A Symantec kiberbiztonsági cég hírszerző csoportjának kutatói azonban azonosították az egyik lehetséges útvonalat: eltérített hírlap weboldalak.
Az Evil Corp egy amerikai újságkiadót támadott meg, és rosszindulatú programokat tárolt az online újságok webhelyein, állítja a Symantec. A malware program a kiválasztott látogatókat egy második szoftvercsomaggal fertőzte meg, amely útmutatást adott a Evil Corp támadóknak a WastedLocker telepítéséhez és a társaság sakkban tartásához.
Míg a Symantec megtagadta a kiadó, az újságok vagy az áldozatok megnevezését, a társaság szerint a támadás eddig legalább 31 szervezetet sújtott. „Számos nagy magánvállalat mellett 11 tőzsdén jegyzett társaság volt az áldozatok között, ezek közül nyolc Fortune 500-as cég. Egy kivételével az összes megcélzott szervezet az Egyesült Államokban van bejegyezve. A kivétel egy tengerentúli multinacionális vállalat dél-amerikai lokációval rendelkező leányvállalata”.
A Evil Corp az egyik leghírhedtebb működő kiberbűnözői csoport
Majdnem egy hónappal a Garmin támadása előtt a Symantec figyelmeztetést adott ki: „A fenyegetés mögött álló támadók képzettnek és tapasztaltnak tűnnek, képesek behatolni a legjobban védett vállalatokhoz is, ellopják a hitelesítő adatokat és könnyedén mozognak a hálózatukon. A WastedLocker egy rendkívül veszélyes ransomware. A sikeres támadás tönkreteheti az áldozat hálózatát, ami komoly működési zavarokhoz, és költséges tisztítási művelethez vezethet.
Mindamellett, hogy az Evil Corp telepítette a WastedLockert a Garmin rendszerekre, a ransomware következő lépése ugyanaz volt mint általában a bevetett gyakorlat. A társaság hálózatának legérzékenyebb részein átjutott és titkosította az alapvető fájlokat, mielőtt váltságdíjat követelt a dekódoló kulcsért cserébe.
Noha a Garmin nem erősítette meg a kért váltságdíj összegét, úgy gondolják, hogy körülbelül 10 millió dollár körül mozog ez.
Hétfő reggelre a Garmin-nak sok szolgáltatását sikerült helyreállítania az általa közzétett dashboard szerint. De a Garmin Connect, ami lehetővé teszi a felhasználók számára, hogy adatokat töltsenek fel a sportoláshoz használható okosóráikról a Garmin-ba és más alkalmazásokba (mint például a Strava) „korlátozott funkcionalitással működik”. Sok feltöltés „várakozik” vagy „késik”, beleértve magát a Strava-integrációt is.
Már a WastedLocker támadás előtt is az Evil Corp az egyik leghírhedtebb ma működő kiberbűnözői csoport volt. 2019. decemberében az Egyesült Államok kormánya lépett fel a szervezet ellen a „Dridex” kampánya során. Ekkor rosszindulatú programokat használt a társaság bankok bejelentkezési adatainak begyűjtésére, és több mint 100 millió dollárt lopott így el. A kampány eredményeként az amerikai Igazságügyi Minisztérium a csoport két tagját bűncselekménnyel vádolta, és a Külügyminisztérium 5 millió dolláros jutalmat ígért annak, aki információval segíti Yakubets elfogását.