Americký výrobce civilních GPS přijímačů Garmin se stal terčem hackerského útoku, který od minulého čtvrtka vyřadil množství jeho webů a služeb. Incident odstavil hlavní službu Garmin Connect (která je stále v omezeném režimu) a ochromil i výrobní linky v Asii a call centra společnosti; české zastoupení firmy v průběhu útoku informovalo na svých sociálních sítích, že chytré hodinky uživatelům neměří vzdálenosti a sportovcům neukládají aktivity.
Teprve v pondělí ráno začal Garmin pro své klienty znovu ožívat – nicméně zvolna a postupně; z platforem a služeb vytčených na stránce Garminu je aktuálně v plném provozu přibližně jen polovina a u dalších zůstává status „znemožněno“.
Aktuální informace potvrzují, že útok proběhl využitím ransomwaru WastedLocker, s nímž operuje hackerská skupina s komiksovým názvem Evil Corp.
Jejich WastedLocker je přitom novodobým a zdokonaleným ransomwarem, který u své kořisti kromě aktivní sítě zasahuje i zálohy dat. Principiálně ale funguje jako každý jiný ransomware: po infikování systému zašifruje jeho data, znemožní k němu jeho uživateli přístup a nabídne jednoduchý obchod: buďto naší „zlé korporaci“ vyplatíte výkupné (které v případě Garminu činí 10 milionů dolarů), nebo vám veškerý obsah vašich počítačů a globálních serverů smažeme tak důkladně, že už ho nikdy nedáte dohromady.
Mimo provoz jsou přitom zcela zásadní služby – Garmin využívají i piloti, kterým je od chvíle, kdy WastedLocker udeřil, znemožněno stažení aktuální databáze do navigačních systémů letadel.
Denis Legezo, senior security researcher ze společnosti Kaspersky, zabývající se kybernetickou bezpečností, pro Forbes komentuje: „Technicky vzato je WastedLocker cílený ransomware, což znamená, že jeho tvůrci se zaměřili na specifický podnik a nikoliv na jakoukoliv náhodnou oběť.“ Legezo dodává, že to v současnosti není jediný známý ransomware tohoto typu – na podobném principu funguje například Maze.
„Ani použité šifrovací mechanismy nejsou pro ransomware neobvyklé: jsou moderní a silné. Strůjci ransomwarového útoku uvádějí ve vyděračských vzkazech posílaných skrze zabezpečené emailové služby a podobně vedle instrukcí, jak výkupné splatit, též název společnosti, na niž se zaměřili, pročež je zcela zřejmé, o jim šlo.“
„Monitorujeme desítky webových domén, které mají s touto rodinou malwaru něco společného,“ dodává pro Forbes Legezo z Kaspersky. „Na mnohých z těchto domén jsme zjistili, že jejich servery patří ke CobaltStrike – legitimní komerční platformě, testující možné průniky, kterou pachatelé taktéž používají.“ Takové techniky jsou podle Legeza velmi podobné klasičtějším zacíleným útokům, při nichž si hackeři jdou pro data.
„V případě WasterLockeru zatím však nic nenapovídá tomu, že by šlo o něco dalšího než jen o zašifrování a požadování výkupného,“ říká Legezo.
Garmin, jehož zisk EBITDA činil v roce 2018 při obratu 3,35 miliardy dolarů 778 milionů dolarů, svádí podle podílu statusů funkčních a nefunkčních služeb pokračující boj o svá data a přístupy k vnitřní síti. Vzhledem k rozsahu a dopadům útoku je evidentní, že se zařadí k nejslavnějším ransomwarovým útokům, jejichž žebříček vede slavný WannaCry. Ten se v roce 2017 rozšířil ve 150 zemích světa, infikoval na 230 tisíc počítačů a způsobil škody v řádu 4 miliard dolarů.