Americký výrobce civilních GPS přijímačů Garmin se stal terčem hackerského útoku, který od minulého čtvrtka vyřadil množství jeho webů a služeb. Incident odstavil hlavní službu Garmin Connect (která je stále v omezeném režimu) a ochromil i výrobní linky v Asii a call centra společnosti; české zastoupení firmy v průběhu útoku informovalo na svých sociálních sítích, že chytré hodinky uživatelům neměří vzdálenosti a sportovcům neukládají aktivity.
Teprve v pondělí ráno začal Garmin pro své klienty znovu ožívat – nicméně zvolna a postupně; z platforem a služeb vytčených na stránce Garminu je aktuálně v plném provozu přibližně jen polovina a u dalších zůstává status „znemožněno“.
Aktuální informace potvrzují, že útok proběhl využitím ransomwaru WastedLocker, s nímž operuje hackerská skupina s komiksovým názvem Evil Corp.
Jejich WastedLocker je přitom novodobým a zdokonaleným ransomwarem, který u své kořisti kromě aktivní sítě zasahuje i zálohy dat. Principiálně ale funguje jako každý jiný ransomware: po infikování systému zašifruje jeho data, znemožní k němu jeho uživateli přístup a nabídne jednoduchý obchod: buďto naší „zlé korporaci“ vyplatíte výkupné (které v případě Garminu činí 10 milionů dolarů), nebo vám veškerý obsah vašich počítačů a globálních serverů smažeme tak důkladně, že už ho nikdy nedáte dohromady.
Mimo provoz jsou přitom zcela zásadní služby – Garmin využívají i piloti, kterým je od chvíle, kdy WastedLocker udeřil, znemožněno stažení aktuální databáze do navigačních systémů letadel.
Denis Legezo, senior security researcher ze společnosti Kaspersky, zabývající se kybernetickou bezpečností, pro Forbes komentuje: „Technicky vzato je WastedLocker cílený ransomware, což znamená, že jeho tvůrci se zaměřili na specifický podnik a nikoliv na jakoukoliv náhodnou oběť.“ Legezo dodává, že to v současnosti není jediný známý ransomware tohoto typu – na podobném principu funguje například Maze.
„Ani použité šifrovací mechanismy nejsou pro ransomware neobvyklé: jsou moderní a silné. Strůjci ransomwarového útoku uvádějí ve vyděračských vzkazech posílaných skrze zabezpečené emailové služby a podobně vedle instrukcí, jak výkupné splatit, též název společnosti, na niž se zaměřili, pročež je zcela zřejmé, o jim šlo.“
„Monitorujeme desítky webových domén, které mají s touto rodinou malwaru něco společného,“ dodává pro Forbes Legezo z Kaspersky. „Na mnohých z těchto domén jsme zjistili, že jejich servery patří ke CobaltStrike – legitimní komerční platformě, testující možné průniky, kterou pachatelé taktéž používají.“ Takové techniky jsou podle Legeza velmi podobné klasičtějším zacíleným útokům, při nichž si hackeři jdou pro data.
Denis Legezo. | Foto Kaspersky
„V případě WasterLockeru zatím však nic nenapovídá tomu, že by šlo o něco dalšího než jen o zašifrování a požadování výkupného,“ říká Legezo.
Garmin, jehož zisk EBITDA činil v roce 2018 při obratu 3,35 miliardy dolarů 778 milionů dolarů, svádí podle podílu statusů funkčních a nefunkčních služeb pokračující boj o svá data a přístupy k vnitřní síti. Vzhledem k rozsahu a dopadům útoku je evidentní, že se zařadí k nejslavnějším ransomwarovým útokům, jejichž žebříček vede slavný WannaCry. Ten se v roce 2017 rozšířil ve 150 zemích světa, infikoval na 230 tisíc počítačů a způsobil škody v řádu 4 miliard dolarů.
