Garmin подтвердил в понедельник, что многие из его онлайн-сервисов были нарушены кибератакой в его системах, произошедшей 23 июля 2020 года.
Услуги, прерванные атакой, которая зашифровывала данные в системах, включали функции веб-сайта, поддержку клиентов, приложения для клиентов и коммуникации компании, отмечается в сообщении компании.
«У нас нет никаких признаков того, что какие-либо данные о клиентах, включая информацию о платежах из Garmin Pay, были доступны, потеряны или украдены», — заявили в компании. «Кроме того, функциональность продуктов Garmin не была затронута, кроме возможности доступа к онлайн-сервисам.
Garmin специализируется на разработке технологий GPS для навигационных и коммуникационных продуктов. Он обслуживает автомобили, авиацию, фитнес, морские перевозки, и наружные рынки.
Компания подсчитала, что операции вернутся в нормальное состояние «через несколько дней». Однако, Garmin предупредил, что по мере восстановления систем могут возникнуть задержки с обработкой информации, содержащейся в резерве.
Из-за простоя не ожидается существенного влияния на операционные или финансовые результаты, добавила компания.
Оценка ущерба Garmin может быть чрезмерно оптимистичной. «Если среднее нарушение данных стоит жертве [U.S.] $ 8,9 млн, тогда в данном случае это, вероятно, больше, чем это ", — заявил Хло Мессдаги, вице-президент по стратегии в Point3 Security, поставщике обучающих и аналитических инструментов для индустрии безопасности в Балтиморе, штат Мэриленд.
«С помощью WastedLocker атака также наносит вред сети, а ее запуск и повторная эксплуатация становятся чрезвычайно дорогими», — сказала она TechNewsWorld. WastedLocker — это вымогатель, который, как полагают, использовался при атаке Garmin.
Содержание статьи
Персонализированная полезная нагрузка
Вылазка на Garmin имеет характеристики типичной атаки вымогателей.
«Обычная тактика вымогателей со стороны киберпреступников состоит в том, чтобы получить первоначальный доступ к организации, выполнить атаки на повышение привилегий, чтобы получить доступ администратора ко всей среде, найти и удалить резервные копии, если это возможно, а затем запустить их вымогателей, чтобы зашифровать как можно больше компьютеров "пояснил Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel, консалтинговой компании по кибербезопасности и компании по тестированию проникновения в Скоттсдейл, штат Аризона.
«Без подтверждения невозможно сказать, смогли ли злоумышленники найти и удалить резервные копии Garmin, но результирующее многодневное отключение демонстрирует, что даже при очень защищенной стратегии резервного копирования атаки с использованием вымогателей могут нанести огромный ущерб жертвам, "он сказал TechNewsWorld.
Хотя злоумышленники использовали обычную тактику, их программное обеспечение, похоже, было настроено для Garmin. «Полезные нагрузки вымогателей настраиваются для каждого отдельного клиента, поэтому расширения вымогателей Garmin были« garminwasted », — объяснил Том Пейс, вице-президент по глобальным корпоративным решениям в BlackBerry.
«Они также избирательно относятся к активам, на которые они стремятся ориентироваться в среде жертвы, чтобы максимизировать ущерб и вероятность того, что клиент осуществит выкуп», — сказал он TechNewsWorld.
Несмотря на то, что было несколько вымогательских атак высокой видимости, большинство из них хранятся на Q.T. Это было не так с вторжением Garmin. «Наиболее заметной отличительной чертой этой атаки является то, насколько она видима для внешнего мира», — заметил Сарью Найяр, генеральный директор Gurucul, разведывательной компании по угрозам в Эль-Сегундо, штат Калифорния.
«Garmin предоставляет многочисленные услуги, связанные с их устройствами и картографическим программным обеспечением, и эта атака оказала существенное влияние на эти службы, поэтому люди во всем мире обратили на это внимание», — сказал Найяр в интервью TechNewsWorld.
Russian Connection
Сообщения о нападении вымогателей связывают его с русскими хакерами, главным образом из-за вредоносного программного обеспечения, использованного во вторжении.
«Атрибуция — это всегда сложная проблема, но в случае с WastedLocker вымогатели фактически подписывают себя как WastedLocker», — объяснил Бен Дынкин, соучредитель и генеральный директор Atlas Cyber Security, поставщика услуг кибербезопасности в Great Neck, NY
«В то время как третьи стороны могут развернуть этот вариант вымогателей, вполне разумно предположить приписать активность киберпреступному синдикату Evil Corp», — сказал он TechNewsWorld. «Министерство финансов США недвусмысленно и недвусмысленно приписало поведение корпорации« Зло »российским гражданам в других операциях».
«Мы не можем однозначно утверждать, что это санкционированная государством деятельность, хотя есть некоторые доказательства что российские военные чиновники связаны с Evil Corp. ", продолжил он. «Это означает, что мы можем приписать эту деятельность российским преступникам, но не российскому государству».
Гармин будет типичной целью для Evil Corp, добавил Мессдаги из Point3. «Мы не видели никаких признаков того, что Evil Corp. напал на малые предприятия или частных лиц», — сказала она. «Они идут за корпорациями с необходимостью и мотивацией платить, чтобы предотвратить потери бизнеса».
10 миллионов долларов выкупа
Сообщалось также, что рейдеры-вымогатели попросили 10 миллионов долларов, чтобы отменить то, что они сделали с системой Garmin. До сих пор Garmin был мамой при любых выплатах выкупа.
«Никогда не рекомендуется, чтобы компании платили киберпреступникам требования о вымогательстве, если это вообще возможно», — сказал Клементс из «Цербера Сентинеля». «Платежи за вымогательство усиливают ответственность за киберпреступные операции и побуждают другие организации предпринять те же атаки».
Однако он признал, что жертвы имеют мало возможностей, кроме как платить требования. «Обычная тактика, используемая бандами-вымогателями, состоит в том, чтобы находить и удалять любые резервные копии перед запуском их шифрования», — пояснил он. «Это оставляет жертве выбор: заплатить выкуп или восстановить свою среду и данные с нуля».
«В лучшем случае этого сценария восстановление с нуля может занять месяцы и стоить много раз больше, чем требование выплаты выкупа ", продолжил он. «В худших случаях критически важные данные, которые зашифрованы, не могут быть восстановлены, и единственная возможность восстановления заключается в том, чтобы оплатить требования о вымогательстве».
Однако расплатиться с Evil Corp сложнее, чем с расплатой онлайн вымогатель. «Еще в декабре 2019 года министерство финансов США ввело санкции против киберпреступной организации Evil Corp», — пояснил Джеймс МакКуигган, адвокат по вопросам безопасности в KnowBe4, провайдере обучения по вопросам безопасности в Клируотере, штат Флорида.
«В рамках этих санкций ни одной организации США не разрешается проводить транзакции с группой», — сказал он TechNewsWorld. «Даже если бы Garmin хотел заплатить выкуп, им пришлось бы сотрудничать с министерством финансов США, ФБР и другими правительственными учреждениями, чтобы отправить средства».
Тем не менее, на эти государственные органы может оказать давление закрывать глаза на любые нарушения санкций, если Garmin не подключит все свои системы к сети без сотрудничества с Evil Corp.
«Проблема заключается в том, что Garmin контролирует и поддерживает значительную критическую инфраструктуру и услуги, используемые пилотами и другими лицами, возможно, даже США и другими военными», — пояснил Пейс BlackBerry.
«Если они не смогут восстановить данные самостоятельно, и это окажет существенное влияние на национальную безопасность или критически важную инфраструктуру, может показаться, что пресловутая скала и дилемма трудного места представляются». 
