Il 23 luglio i servizi Garmin sono stati interrotti. Orologi, ciclocomputer e altri dispositivi avevano smesso di scaricare dati e l'app Garmin Connect ha iniziato a visualizzare un messaggio che spiegava che l'improvviso guasto era dovuto alla "manutenzione". Anche il software pilota FlyGarmin e il database di navigazione (utilizzato per i sistemi di navigazione Garmin) sono falliti, si ritiene che abbiano portato all'incaglio di alcuni velivoli.
Un tweet del marchio ha confermato che si stava "verificando un'interruzione che interessava Garmin Connect e di conseguenza il sito Web Garmin Connect e l'app mobile non funzionavano al momento", ma l'interruzione è continuata. Continuò, iniziarono a circolare speculazioni sul fatto che non fosse solo un problema tecnico, ma il risultato di un attacco ransomware che aveva crittografato i dati critici sui sistemi Garmin.
Ringraziamo tutti i nostri clienti per la loro pazienza e comprensione. Per ulteriori informazioni, visitare https://t.co/U3vwBre4U2. 27 luglio 2020
Sommario
quello che è successo
Fonti che affermano di avere una conoscenza diretta della situazione hanno detto a BleepingComputer che i dati dell'azienda erano stati crittografati e che gli aggressori stavano chiedendo un riscatto per rilasciarli. Le fonti hanno condiviso schermate (presumibilmente dai sistemi Garmin) che mostrano i file bloccati con il nome "GARMIN.WASTED".
ZDNet ha citato un rapporto del sito tecnologico taiwanese iThome, secondo il quale è stato inviato un promemoria agli stabilimenti di produzione taiwanesi di Garmin dicendo che "server e database" sono stati attaccati e le linee di produzione sono state attaccate. chiuso per due giorni durante il recupero.
La possibilità di un simile attacco era molto preoccupante. Garmin ha molti dati personali sui suoi clienti - nomi, compleanni, informazioni di contatto, dati GPS e informazioni sulla salute - e i produttori di ransomware non sempre crittografano solo i dati dei loro obiettivi. Se il riscatto non viene pagato, potrebbero venderlo o pubblicarlo online.
Gli utenti scoprono che i loro dispositivi non possono elaborare le informazioni sull'attività anche se la connessione al cloud è stata interrotta (Credito immagine: Garmin)
LaComparacion ha parlato con il marchio 48 ore dopo l'interruzione e ha ricevuto una dichiarazione che conferma che la maggior parte dei servizi clienti erano ancora offline:
“Garmin sta riscontrando un'interruzione dei servizi Garmin, inclusi Garmin Connect e Garmin Pilot. A causa dell'interruzione, alcune funzionalità e servizi su queste piattaforme non sono disponibili per i clienti. Inoltre, i nostri call center di assistenza sui prodotti sono interessati dall'interruzione e pertanto al momento non siamo in grado di ricevere chiamate, e-mail o chat online.
“Stiamo lavorando per ripristinare i nostri sistemi il più rapidamente possibile e ci scusiamo per il disagio causato. Ulteriori aggiornamenti verranno forniti non appena disponibili. »
Il marchio ha quindi indirizzato LaComparacion a un breve periodo di domande e risposte, che ha assicurato agli utenti che "Garmin non ha alcuna indicazione che questa interruzione abbia influenzato i loro dati, inclusa l'attività, il pagamento o il pagamento. altre informazioni personali «.
I servizi Garmin hanno iniziato a riprendersi quattro giorni dopo l'attacco (Image credit: Garmin)
Il 27 luglio, quattro giorni dopo l'inizio dell'interruzione, i servizi Garmin Connect hanno iniziato a tornare online e la società ha finalmente confermato di essere stata vittima di un attacco che ha crittografato i suoi dati (sebbene si sia astenuto dal menzionare se gli aggressori avessero richiesto un riscatto):
"Garmin [...] ha annunciato oggi di essere stata vittima di un attacco informatico che ha crittografato alcuni dei nostri sistemi il 23 luglio 2020. Di conseguenza, molti dei nostri servizi online sono stati interrotti, comprese le funzionalità del sito Web, il servizio clienti, il client, il client applicazioni e comunicazioni aziendali.
“Abbiamo subito iniziato a valutare la natura dell'attacco ea porvi rimedio. Non abbiamo alcuna indicazione che i dati dei clienti siano stati consultati, persi o rubati, incluse le informazioni di pagamento di Garmin Pay.
Inoltre, la funzionalità dei prodotti Garmin non è stata influenzata, ad eccezione della possibilità di accedere ai servizi in linea.
Garmin ha assicurato agli utenti che i loro dati Garmin Pay non sono stati compromessi nell'attacco (Image credit: Garmin)
Il 30 luglio, con la ripresa dei servizi, il presidente e CEO di Garmin Clifton Pemble ha affrontato l'attacco in un discorso durante la chiamata annuale sugli utili della società.
"[…] La maggior parte di voi è a conoscenza del recente attacco informatico che ha causato un'interruzione della rete che ha colpito gran parte del nostro sito Web e delle applicazioni dei consumatori", ha affermato Pemble. " Valutammo immediatamente la natura dell' attacco e iniziammo le azioni correttive. Non abbiamo alcuna indicazione che i dati dei clienti siano stati consultati, persi o rubati.
Inoltre, la funzionalità dei prodotti Garmin non è stata influenzata, ad eccezione della possibilità di accedere a determinati servizi in linea. I sistemi aziendali critici sono stati ripristinati e prevediamo di ripristinare i sistemi rimanenti nei prossimi giorni. Apprezziamo la tua pazienza e le gentili parole di supporto. Abbiamo avuto clienti e amici in questa sfida «.
I miei dati sono al sicuro?
Presumibilmente. Garmin ha colto ogni occasione per rassicurare i suoi utenti che i loro dati non sono stati compromessi e un recente rapporto di TechCrunch, citando due fonti che affermano di avere "conoscenza di prima mano dell'incidente", afferma che il ransomware utilizzato non sembra in grado di rubare o estrarre dati da file bloccati.
I tuoi dati giornalieri durante l'interruzione sono stati registrati sul tuo dispositivo, che si tratti della batteria del tuo corpo, dei livelli di stress o del conteggio dei passi giornalieri, e quei dati ora devono essere sincronizzati con i server Garmin.
E Strava?
Strava non è stato direttamente interessato, ma gli allenamenti registrati con i dispositivi Garmin non sono stati scaricati durante l'interruzione. Un grafico delle statistiche di Strava mostra un calo completo dell'attività di Garmin dal 23 luglio e i download complessivi sono diminuiti di un terzo.
Gli allenamenti hanno iniziato gradualmente a sincronizzarsi con Strava il 27 luglio, ma Strava ha avvertito che a causa delle dimensioni dell'arretrato, potrebbe essere necessaria una settimana o più per sincronizzare tutte le attività, quindi non preoccuparti se le tue sono state lente ad apparire. . Se non puoi aspettare così a lungo, puoi caricare manualmente le tue attività su Strava.
I download Strava dai dispositivi Garmin sono stati completamente sospesi il 23 luglio (Image credit: TheComparison)
Chi c'era dietro?
Ciò non è stato confermato, ma il nome GARMIN.WASTED dato ai file bloccati suggerisce che il ransomware in questione è una variante di WastedLocker, che è gestito da una banda russa nota come Hacking Corp e può essere adattato per attaccare. obiettivi molto specifici. Come riporta Sky News, i membri del gruppo sono stati sanzionati dal Tesoro degli Stati Uniti l'anno scorso per aver commesso "due dei peggiori schemi di hacking e frode bancaria nell'ultimo decennio".
Se fosse stato corretto, avrebbe potuto mettere Garmin in una situazione molto difficile. Le sanzioni vietano agli americani di effettuare transazioni con criminali e, poiché Garmin è un'azienda americana, pagare un riscatto per sbloccare i file potrebbe essere proprio questo. Tuttavia, non è chiaro se ciò si applichi quando si estorce un'azienda o un individuo, ma fonti anonime che hanno parlato con Sky hanno affermato che Garmin non ha effettuato un pagamento diretto ai suoi aggressori per far trapelare i loro dati.
Che cos'è il ransomware?
Il ransomware è un tipo di software dannoso (malware) che crittografa i dati, rendendoli inutili finché la vittima non paga una tariffa per la chiave di decrittazione. Il pagamento è richiesto in Bitcoin, quindi non può essere rintracciato e viene utilizzato per finanziare attività criminali. Non vi è inoltre alcuna garanzia che il pagamento vi consentirà di recuperare i vostri dati.
Gli utenti domestici possono essere colpiti dal ransomware, ma le gang trovano molto più redditizio prendere di mira le aziende che hanno molti dati sensibili e hanno tasche abbastanza profonde da pagare un grande riscatto.
Come spiega Malwarebytes, gli attacchi WastedLocker richiedono riscatti che vanno da € 50,000 (circa € 40,000, AU € 70,000) a oltre € 10 milioni (circa € 8 milioni, AU € 14 milioni) in Bitcoin.
Esistono strumenti di rimozione, ci sono così tante diverse varietà di ransomware che crittografa i file in modi diversi, puoi decrittografare i tuoi file solo se sai esattamente da cosa è stato infettato e uno sviluppatore è stato in grado di trovare una soluzione. . .
Il modo migliore per affrontare il ransomware è eseguire backup regolari e proattivi, in modo da poter ripristinare i file senza pagare penali. Questi backup devono essere completamente separati dal resto del sistema, altrimenti potrebbero anche essere crittografati.
Gli attacchi possono essere adattati a una particolare organizzazione o anche a una persona specifica, che potrebbe ricevere il programma di installazione del ransomware come parte di un'e-mail molto autentica da un collega, piena di informazioni che è improbabile che una terza parte sia a conoscenza.
"Gli attacchi ransomware sono terribilmente comuni", ha detto a LaComparacion l'esperto di sicurezza IT Graham Cluley. “Questo è uno dei tipi più importanti di criminalità informatica degli ultimi anni. Hanno colpito allo stesso modo individui e organizzazioni e talvolta hanno fruttato milioni di dollari ai criminali informatici.
“Ovviamente non tutti possono permettersi di pagare, il che significa che rischiano di perdere non solo lavoro prezioso, ma file insostituibili di valore affettivo, come le foto di famiglia. Il morale? backup regolari e sicuri e assicurarsi che funzionino.
