Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

lunedì 27 luglio 2020
Il navigatore perde la bussola: down globale di Garmin per un attacco ransomware

E’ uno di quegli attacchi ransomware di peso, che fa notizia sulla stampa perchè la vittima è eccellente: parliamo della Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable.

L’attacco è avvenuto Giovedì scorso ed ha obbligato l’azienda a chiudere i servizi connessi e quelli di call center in tutte le sue sedi nel mondo: ora è confermato che il down dei sistemi è stato conseguenza di un attacco del ransomware WastedLocker. Interessati Garmin.com e Garmin Connect. Nonostante Garmin non li abbia citati nell’avviso di down, sono divenuti inutilizzabili anche servizi flyGarmin, utilizzati dai piloti di aereovelivoli: tra questi il sito web flyGarmin e l’app mobile, i servizi Connext (meteo e report di posizione) e l’App Garmin Pilot. Anche i servizi Garmin Explorer e la tecnologia satellitare inReach sono finite in down ed è stata sospesa la produzione di tutti i dispositivi.

E’ stata la sede indiana di Garmin ha pubblicare il primo tweet dopo l’attacco, spiegando però che alcuni server sarebbero stati messi offline per una manutenzione avvenuta nove ore prima che avrebbe limitato le prestazioni di Garmin Express, Garmin Connect mobile e il sito web. Quattro ore dopo, gli account ufficiali di Garmin su Twitter e Facebook condividevano lo stesso messaggio, aggiungendo però che anche i call center erano in down a causa della problematica intercorsa.

La conferma: è il ransomware WastedLocker
La conferma della tipologia di ransomwareimpiegata nell’attacco è avvenuta tramite un impiegato di Garmin, che, alla redazione di Bleeping Computer, ha spiegato che sui sistemi è stato ritrovato un campione di WastedLocker. Il dipartimento IT di Garmin ha tentato di arrestare da remoto tutti i computer collegati alla rete aziendale durante la critpazione, compresi i computer connessi in VPN e usati dai dipendenti in smart working. L’operazione non ha avuto successo, quindi è partito l’ordine ai dipendenti di spegnimento di qualsiasi computer sulla rete alla quale avevano accesso. Nel frattempo il team IT ha forzato l’arresto di tutti i dispositivi ospitati in uno dei data center principali dell’azienda, per impedire che almeno quelli finissero criptati. E’ stato proprio questo arresto che ha causato il down globale di Garmin Connect e degli altri servizi connessi. Sabato i sistemi erano completamente bloccati.

Nella foto sotto è possibile vedere alcuni file criptati: l’estensione aggiunta al nome file è .garminwasted. E’ anche stata creata una nota di riscatto per ogni file criptato.

La versione di WastedLocker usata è in corso di studio, ma quello che emerge chiaramente è che è una versione “rivista e corretta” di Wasted pensata appositamente per attaccare la rete aziendale Garmin. L’estensione (.garminwasted) e il nome della nota di riscatto (garminwasted_info) rendono chiara la cosa. Sotto la nota di riscatto:

WastedLocker in breve
WastedLocker è stato sviluppato da un gruppo di cyber attaccanti chiamato Evil Corp, attivo fin dal 2007: debuttarono col malware bancario Dridex, poi sperimentarono attacchi ransomware con Locky fino a sviluppare un ransomware tutto loro, conosciuto come BitPaymer. Il Dipartimento del Tesoro degli Stati Uniti ha sanzionato duramente nel 2019 il gruppo Evil Corp a causa dei danni arrecati all’economia statunitense (si parla di oltre 100 milioni di danni):per questo la Garmin si trova in un bell’impiccio, non potendo pagare il riscatto agli attaccanti a meno di violare la legge statunitense. E’stato proprio dall’anno della sanzione, il 2019, che il gruppo ha cambiato strategia preferendo specializzarsi in attacchi ransomware mirati contro le aziende: ecco che viene messo in diffusione WastedLocker.

Quello a Garmin è solo l’ultimo di una serie di attacchi con la quale il gruppo sta bersagliando aziende statunitensi: nell’ultimo mese WastedLocker ha colpito circa 12 altre aziende americane, incluse alcune contenute nella lista delle 500 aziende di Fortune. Non è chiaro come riescano a penetrare nelle reti, tuttavia si sa che il gruppo è riuscito a compromettere i dispositivi dei dipendenti di oltre 30 importanti aziende sfruttando dei falsi alert di update software visualizzati tramite il framework dannoso JavaScript SocGholish.

Il lento e parziale ripristino della situazione
Dopo 3 giorni consecutivi di disservizi, la situazione è iniziata lentamente a migliorare. Garmin ha aperto una bacheca online tramite la quale sta informando gli utenti sull’andamento dei lavori di ripristino: ieri pomeriggio erano stati ripristinati però soltanto servizi secondari e alcuni dei servizi principali, ma in modalità limitata.

Quel che resta da sistemare è la trasparenza dell’azienda: Garmin infatti non ha assolutamente fornito una spiegazione ufficiale all’accaduto e quanto si sa è per adesso trapelato da fonti interne, ma non ufficiali. Probabilmente una comunicazione più completa da parte dell’azienda arriverà quando anche l’ultimo servizio sarà ripristinato.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy