Джон П. Мелло-младший
28 июля 2020 г. 4:00 утра по тихоокеанскому времени
Garmin подтвердил в понедельник, что многие из его онлайн-сервисов были нарушены кибератакой в его системах, произошедшей 23 июля , 2020.
Услуги, прерванные атакой, которая зашифровывала данные в системах, включали функции веб-сайта, поддержку клиентов, приложения для клиентов и коммуникации компании, отмечается в заявлении компании.
«У нас нет никаких признаков того, что какие-либо данные о клиентах, включая информацию о платежах из Garmin Pay, были доступны, утеряны или украдены», — заявили в компании. «Кроме того, функциональность продуктов Garmin не пострадала, кроме возможности доступа к онлайн-сервисам.
Garmin специализируется на разработке технологий GPS для навигационных и коммуникационных продуктов. Он обслуживает автомобили, авиацию, фитнес, морские, и наружные рынки.
Компания подсчитала, что операции вернутся в нормальное состояние «через несколько дней». Однако, Garmin предупредил, что по мере восстановления систем могут возникать задержки с обработкой информации, содержащейся в резерве.
Из-за простоя не ожидается существенного влияния на операционные или финансовые результаты, добавила компания.
Оценка ущерба Garmin может быть чрезмерно оптимистичной. «Если среднее нарушение данных стоит жертве [U.S.] $ 8,9 млн, тогда в данном случае это, вероятно, больше, чем это ", — заявил Хло Мессдаги, вице-президент по стратегии в Point3 Security, поставщике обучающих и аналитических инструментов для индустрии безопасности в Балтиморе, штат Мэриленд.
«С помощью WastedLocker атака также наносит вред сети, а ее запуск и запуск в эксплуатацию становятся чрезвычайно дорогими», — сказала она TechNewsWorld. WastedLocker — это вымогатель, который, как полагают, использовался при атаке Garmin.
Содержание статьи
Персонализированная полезная нагрузка
Вылет на Garmin имеет характеристики типичной атаки вымогателей.
«Обычная тактика вымогателей со стороны киберпреступников состоит в том, чтобы получить первоначальный доступ к организации, выполнить атаки на повышение привилегий, чтобы получить доступ администратора ко всей среде, найти и удалить резервные копии, если это возможно, а затем запустить их вымогателей, чтобы зашифровать как можно больше компьютеров. "пояснил Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel, консалтинговой компании по кибербезопасности и компании по тестированию проникновения в Скоттсдейл, штат Аризона.
«Без подтверждения невозможно сказать, смогли ли злоумышленники найти и удалить резервные копии Garmin, но результирующее многодневное отключение демонстрирует, что даже при очень защищенной стратегии резервного копирования атаки с использованием вымогателей могут нанести огромный ущерб жертвам, "он сказал TechNewsWorld.
Хотя злоумышленники использовали обычную тактику, их программное обеспечение, похоже, было настроено для Garmin. «Полезные нагрузки вымогателей настраиваются для каждого отдельного клиента, поэтому расширения вымогателей Garmin были« garminwasted », — пояснил Том Пейс, вице-президент по глобальным корпоративным решениям в BlackBerry.
«Они также избирательно выбирают активы, на которые они стремятся в среде жертвы, чтобы максимизировать ущерб и вероятность того, что клиент осуществит выкуп», — сказал он TechNewsWorld.
Несмотря на то, что было несколько вымогательских атак высокой видимости, большинство из них хранятся на Q.T. Это было не так с вторжением Garmin. «Наиболее заметной отличительной чертой этой атаки является то, насколько она видима для внешнего мира», — заметил Сарью Найяр, генеральный директор Gurucul, разведывательной компании по угрозам в Эль-Сегундо, штат Калифорния.
«Garmin предоставляет многочисленные услуги, связанные с их устройствами и картографическим программным обеспечением, и эта атака оказала существенное влияние на эти службы, поэтому люди во всем мире обратили на это внимание», — сказал Найяр в интервью TechNewsWorld.
Russian Connection
Отчеты об атаке на вымогателей связывают его с русскими хакерами, главным образом из-за вредоносного программного обеспечения, использованного во время вторжения.
«Атрибуция — это всегда сложная проблема, но в случае с WastedLocker вымогатели фактически подписывают себя как WastedLocker», — объяснил Бен Дынкин, соучредитель и генеральный директор Atlas Cyber Security, поставщика услуг кибербезопасности в Great Neck, NY
«В то время как третьи стороны могут развернуть этот вариант вымогателей, вполне разумно предположить приписать активность киберпреступному синдикату Evil Corp», — сказал он TechNewsWorld. «Министерство финансов США однозначно и недвусмысленно приписало поведение корпорации Evil Corp. гражданам России в других операциях».
«Мы не можем однозначно утверждать, что это санкционированная государством деятельность, хотя есть некоторые доказательства что российские военные чиновники связаны с Evil Corp. ", продолжил он. «Это означает, что мы можем приписать эту деятельность российским преступникам, но не российскому государству».
Garmin будет типичной целью для Evil Corp, добавил Мессдаги из Point3. «Мы не видели никаких признаков того, что Evil Corp. напал на малые предприятия или частных лиц», — сказала она. «Они идут за корпорациями с необходимостью и мотивацией платить, чтобы предотвратить потери бизнеса».
10 миллионов долларов выкупа
Сообщалось также, что рейдеры-вымогатели попросили 10 миллионов долларов, чтобы отменить то, что они сделали с системой Garmin. До сих пор Garmin был мамой при любых выкупных выплатах.
«Никогда не рекомендуется, чтобы компании предъявляли требования к вымогательству киберпреступникам, если это вообще возможно», — сказал Клементс из Cerberus Sentinel. «Платежи за вымогательство усиливают ответственность за киберпреступные операции и побуждают другие организации предпринять те же атаки».
Однако он признал, что жертвы имеют мало возможностей, кроме как платить требования. «Обычная тактика, используемая бандами-вымогателями, состоит в том, чтобы находить и удалять любые резервные копии перед запуском их шифрования», — пояснил он. «Это оставляет жертве выбор: заплатить выкуп или восстановить свою среду и данные с нуля».
«В лучшем случае этого сценария восстановление с нуля может занять месяцы и стоить много раз больше, чем требование выплаты выкупа ", продолжил он. «В худших случаях критически важные данные, которые зашифрованы, не могут быть восстановлены, и единственная возможность восстановления заключается в том, чтобы оплатить требования о вымогательстве».
Однако погасить Evil Corp сложнее, чем заплатить онлайн вымогатель. «Еще в декабре 2019 года министерство финансов США ввело санкции против киберпреступной организации Evil Corp», — пояснил Джеймс МакКуигган, адвокат по вопросам безопасности в KnowBe4, провайдере обучения по вопросам безопасности в Клируотере, штат Флорида.
«В рамках этих санкций ни одной организации США не разрешается проводить транзакции с группой», — сказал он TechNewsWorld. «Даже если бы Garmin хотел заплатить выкуп, им пришлось бы сотрудничать с министерством финансов США, ФБР и другими правительственными учреждениями, чтобы отправить средства».
Тем не менее, на эти государственные органы может оказать давление, чтобы они обратились закрывать глаза на любые нарушения санкций, если Garmin не подключит все свои системы к сети без сотрудничества с Evil Corp.
«Проблема заключается в том, что Garmin контролирует и поддерживает значительную критическую инфраструктуру и услуги, используемые пилотами и другими лицами, возможно, даже США и другими военными», — пояснил Пейс BlackBerry.
«Если они не смогут восстановить данные самостоятельно, и это окажет существенное влияние на национальную безопасность или критически важную инфраструктуру, кажется, что пресловутая скала и дилемма трудного места представятся». 
