Garmin a plătit răscumpărare hackerilor WastedLocker

Singurul mod în care compania putea obține cheia pentru decriptarea fișierelor a fost să plătească răscumpărarea.

GarminPocalypse 1 : Ransomware Causes Major outage

 

Garmin, producătorul american de dispozitive digitale pentru navigație GPS, activități în aer liber și sport, și-a recuperat datele după atacul ransomware-ului WastedLocker folosind o cheie de decriptare.

Reamintim că pe 23 iulie a.c., utilizatorii din întreaga lume nu au putut accesa serviciile Garmin Connect, flyGarmin, Strava și InReach.

Deși compania nu a dezvăluit natura incidentului, potrivit postărilor angajaților săi pe rețelele de socializare, Garmin a fost victima atacului ransomware-ului WastedLocker, care i-a criptat rețelele și a cerut o răscumpărare de 10 milioane de dolari.

La câteva zile după atac, compania a anunțat restaurarea treptată a serviciilor oferite. Potrivit zvonurilor, Garmin a plătit operatorilor WastedLocker suma cerută.

Până în prezent, Garmin nu a comentat aceste informații.

Cu toate acestea, după cum au precizat specialiștii portalului BleepingComputer, compania a primit cheia de decriptare a fișierelor blocate de infractori.

WastedLocker este un program ransomware conceput să atace companiile comerciale. Nu s-au găsit vulnerabilități în algoritmul său de criptare, iar experții în securitate cibernetică nu pot crea deocamdată un instrument pentru recuperarea gratuită a fișierelor criptate de operatorii WastedLocker.

Se pare că, pentru a obține cheia, Garmin a trebuit să plătească extorționiștilor suma cerută.

Garmin restoration package contents

Astfel, pachetul de recuperare examinat de specialiștii BleepingComputer include diferiți instalatori de software antivirus, o cheie de decriptare, decriptorul WastedLocker și scriptul pentru lansarea acestora.

După executare, pachetul de recuperare decriptează datele de pe computer și apoi instalează soluții de securitate. Scriptul conține reperul temporal “25.07.2020”, ceea ce înseamnă că răscumpărarea a fost plătită de Garmin pe 24 sau 25 iulie.

Folosind un eșantion WastedLocker de tipul celui utilizat în atacul asupra companiei Garmin, cercetătorii BleepingComputer au criptat o mașină virtuală pentru a testa decriptorul. Rezultatul a fost că decriptorul s-a descurcat excelent cu sarcina dată.

Potrivit BleepingComputer, companiile care cad victime ransomware-ului trebuie să respecte o singură regulă: să șteargă toate datele din computerele atacate și reinstaleze totul de la zero.

Acest lucru este necesar deoarece nu se poate spune ce modificări au făcut operatorii programului malițios.

Cu toate acestea, judecând după script, Garmin nu a respectat această regulă, ci pur și simplu a decriptat datele folosind decriptorul, ca apoi să instaleze soluții de securitate.

 

Leave a Reply

Your email address will not be published. Required fields are marked *