fbpx
5.8 C
София

Излязоха подробностите за рансъмуера атакувал Garmin

Най-четени

Даниел Десподовhttps://www.kaldata.com/
Ежедневен автор на новини. Увличам се от съвременни технологии, оръжие, информационна безопасност, спорт, наука и концепцията Internet of Things.

Вече над четири денонощия са недостъпни повечето онлайн услуги Garmin Connect, които се използват в електронните устройства за носене на компанията Garmin. И днес има прекъсвания в работата на официалния сайт Garmin.com на компанията, не работи колцентърът, няма онлайн чат и дори е прекратена работата на част от производствената линия.

На 25 юли вечерта Garmin публикува в своя уеб сайт обяснение на ситуацията. Но там не е посочена причината за случилото се и само се подчертават някои моменти – компанията заяви, че ще успее да запази всички потребителски данни, включително плащанията и друга чувствителна информация. Тогава стана ясно, че дори в този момент да бъде закупено някое от устройствата на Garmin, ще трябва да се изчака известно време, преди това устройство да бъде активирано и включено към електронния облак на компанията.

Но специалистите на изданието BleepingComputer получиха нова информация от анонимни служители на Garmin, която потвърди предположението, че това е рансъмуер атака. Срещу Garmin е използван рансъмуерът WastedLocker, а порталът публикува скрийншоти с криптираните файлове, както и текста, с който се иска огромен откуп. За декриптирането на файловете хакерите искат сериозните $10 милиона.

Оказа се, че хакерската атака с помощта на рансъмуера WastedLocker е осъществена през нощта на 22 срещу 23 юли тази година. Именно на 23 сутринта, четвъртък, компютрите на почти всички служители са били вече неработоспособни.

IT специалистите на Garmin са се опитали да реагират на тази атака, но по всичко личи, че са закъснели. Те е трябвало възможно най-бързо да спрат работата на всички компютри и лаптопи на компанията, свързани с локалната корпоративна мрежа, включително и домашните компютри на служителите, свързани чрез VPN. Но процесът се е проточил. Ето защо те започнали просто да изключват всички компютри и сървъри в локалната мрежа, до които имали достъп, понеже процесът на заразяване с вируса и на криптирането на файловете започнал да се разраства лавинообразно.

Един от скрийншотовете, показващ криптираните файлове от компютър на служител на Garmin. Вижда се, че всеки криптиран файла има добавено разширението .garminwasted, като е добавен и информационен файл, в който се съобщава размерът на откупа

В крайна сметка се наложило IT специалистите на Garmin ръчно да изключват компютърните устройства наоколо – десктопи, рутери, сървъри, хранилища на данни и т.н., намиращи се в центровете за обработка на данни на компанията и в нейните офиси, за да предотвратят по-нататъшното разпространение на вируса. И още, спешно са изключени не само основните онлайн услуги, но и производствените отдели на компанията, включително някои поточни линии в Азия. Оказа се, че вирусът е успял да проникне в компютрите, сървърите и базите данни на компанията, намиращи се в завода Garmin Taiwan.

Още един скрийншот от служебния компютър на служител на Garmin, който показва криптираните файлове

Нещо повече, в текстовата част на генерираните от вируса информационни файлове с искането за откуп, обръщението на хакерите е директно към Garmin.

Скрийншот с част от текста на файла с искането за откуп

Въпросните служители на Garmin, пожелали да остана анонимни, са заявили, че атаката на рансъмуера WastedLocker всъщност е започнала в Тайван, което съвпада се местоположението на един от потребителите, който е тествал файл във VirusTotal. Едва след това заразата се е разпространила по всички компютри и сървъри в корпоративната мрежа на компанията. Днес Garmin започна малко по малко се възстановява. Така например, официалният уеб сайт на Garmin вече работи, но за връщането на компанията в предишния и вид ще са необходими не по-малко от няколко дни, а може би и седмици.

Уеб изданието ZDNet още на 25 юли съобщи, че абсолютно всички онлайн услуги на Garmin са неактивни, като на практика всички устройства за носене на компанията са спрели да работят. Порталът предположи, че причината за всичко това е рансъмуер атака и сега виждаме, че това предположение се оказа вярно. Това е сериозен инцидент, който буквално спря работата на една немалка компания. Тъй като Garmin все още не коментира, предполага се, че е осъществен пробив в затворената корпоративна мрежа на компанията при който е реализирана атака с рансъмуера WastedLocker, успял да зарази повечето служебни компютри и част от сървърите, които осъществяват обмена на данни със смарт часовниците и другите спортни устройства на Garmin.

Компанията пострада наистина жестоко, понеже спряха да работят всички устройства, които ползват онлайн услугите на Garmin. Не може да се задават нови маршрути, не могат да се споделят резултатите от тренировките – нищо не работи. Случаят ни кара да се замислим каква е точно ползата всичко да се намира в електронен облак и да се плащат месечни абонаменти.

Експертите на компанията за информационна безопасност Fox-IT следят появата и използването на рансъмуера WastedLocker още от месец май тази година. Според техните данни, комбинираният вирус се използва единствено срещу американски компании, с което изглежда се намеква за прословутите руски хакери. Откупите, които се искат при атаките с WastedLocker, винаги са големи и общата изплатена сума на пострадалите от този коронавирус към днешен ден възлиза на милиони долари.

Вирусът комбинира различни техники – криптира данните, атакува базите данни, виртуалните машини и облачните услуги, нарушава работата на приложенията за резервно копиране, трие резервните копия. Единственото, което WastedLocker не прави, е да копира информацията към някой отдалечен сървър.

Абонирай се
Извести ме за
guest
5 Коментара
стари
нови
Отзиви
Всички коментари
Димитър Димитров
Димитър Димитров
1 година

„и общата изплатена сума на пострадалите от този коронавирус към днешен ден вече е на ниво милиони долари“

Редовен потребител
Редовен потребител
Отговор на  Димитър Димитров
1 година

Вече всичко е корона вирус. Няма вече обикновени вируси било то и компютърни. 😀

КоронаАнтиВирус
КоронаАнтиВирус
1 година

Ей, сигурно го сънувате тоя коронавирус вече 🙂

Боби
Боби
1 година

Пострадахме от подобен вирус преди няколко год. Не платихме и ни отне към 2г да съберем информацията от записани на други места. До колкото четох, към 1/4 от платилите успяват да си възстановят нещата. А и плащайки им ги насърчаваме да продължават така. Т- борбъта е безмилостно жестока:
Внимавайте какви файлове отваряте, особено с кликане върху тях. Използвайте по възможностт тотал командера и лестера му с F3. Понеже много от вирусите се представят като други файлове

Ким Бин Се
Ким Бин Се
Отговор на  Боби
1 година

хахаха кавал, кой те кара да записваш и отваряш непознати файлове на компютъра
?? хахаха мамини сладки наивни шаранчета, вкарват си само главичката, ама той нямал рамене и БАМ до ташаците хахаха

Нови ревюта

Подобни новини