Da li je Garmin ipak prekršio američke sankcije i platio napadačima ključ za dešifrovanje

Vesti, 03.08.2020, 11:30 AM

Da li je Garmin ipak prekršio američke sankcije i platio napadačima ključ za dešifrovanje

Garmin je izgleda dobio ključ za dešifrovanje da bi dešifrovao fajlove šifrovane u napadu WastedLocker ransomwarea, objavio je BleepingComputer.

23. jula Garmin je pretrpeo napad zbog koga korisnici nisu mogli pristupiti Garminovim servisima, uključujući Garmin Connect, flyGarmin, Strava i inReach.

Da su napadnuti ransomwareom najpre su potvrdili zaposleni u Garminu objavljujući fotografije šifrovanih računara na društvenim mrežama. Od njih je došla i informacija da su napadači od kompanije tražili da plati 10 miliona dolara na ime otkupa.

Nakon četvrtodnevnog prekida rada, Garmin je objavio da će početi sa vraćanjem usluga, ali je kompanija odbila da komentariše kako su rešili problem.

WastedLocker je ransomware koji se koristi za napade na kompanije i nema poznatih slabosti u algoritmu za šifrovanje. Ovo znači da se dekripter ne može napraviti besplatno.

S obzirom na dokaze do kojih je došao BleepingComputer (softverski paket koji instalira različite sigurnosne programe, sadrži ključ za dešifrovanje, WastedLocker dekripter, i skiptu za pokretanje svega toga), Garmin ima radni ključ za dešifrovanje, što znači da je morao platiti otkupninu napadačima. Nije poznato koliko je plaćeno.

Kada se pokrene pomenuti program, dešifruje se računar, a zatim se uređaj priprema sigurnosnim softverom.

Garminova skripta sadrži vremensku oznaku 07/25/2020, što ukazuje da je otkupnina plaćena ili 24. ili 25. jula.

Koristeći uzorak WastedLockera iz napada na Garmin, BleepingComputer je šifrovao virtuelnu mašinu i testirao dekripter. Pokazalo se da on radi i da dešifruje fajlove.

Sve kompanije trebalo bi da se pridržavaju opšteg pravila o brisanju svih računara nakon napada ransomwarea. Ponovna instalacija je neophodna jer se nikada ne zna šta su se napadači promenili tokom upada. Međutim, čini se da Garmin nije poštovao ove smernice i da je samo dešifrovao uređaje i instalirao sigurnosni softver.

Dekripter iz softvera koji je koristio Garmin sadrži reference za firmu za sajber-bezbednost Emsisoft i za firmu Coveware koja vodi pregovore u ime oštećenih napadima ransomwarea.

Coveware je odbio da da komentar.

I Emsisoft je rekao da ne mogu komentarisati konkretni slučaj, da oni samo prave alate za dešifrovanje i da nisu uključeni u pregovore i plaćanje otkupnine. Emsisoft obično pravi prilagođene dekriptere kada alati koje dostave napadači ne rade kako treba ili ako su kompanije zabrinute da mogu sadržati backdoor.

Pošto se kao mogući krivac za napad na Garmin spominje ruska hakerska grupa Evil Corp kojoj se pripisuju zasluge za nastanak WastedLockera, treba reći da je grupa stavljena na američku listu sankcija zbog korišćenja bankarskog trojanca Dridex i štetu veću od 100 miliona dolara koju je grupa pričinila američkim bankama. To znači da bi plaćanje ovog softvera za dešifrovanje značilo da je Garmin prekršio sankcije.

Zbog ovih sankcija, izvori iz Covewarea rekli su BleepingComputeru da je kompanija početkom jula stavila WastedLocker na svoju listu za koju važe ograničenja i da oni ne vode pregovore za napade povezane sa ovim ransomwareom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovanje aparata za kafu: Umesto jutranje kafe problemi sa ransomwareom

Hakovanje aparata za kafu: Umesto jutranje kafe problemi sa ransomwareom

Istraživači iz kompanije Avast uspeli su da inficiraju aparat za kafu ransomwareom i da ga iskoriste za rudarenje Monero kriptovalute. Verovatno mal... Dalje

Američke bolnice blokirane posle napada ransomwarea

Američke bolnice blokirane posle napada ransomwarea

Universal Health Services (UHS), kompanija u čijem je vlasnišvu više od 400 zdravstvenih ustanova, bolnica i centara za negu bolesnika u SAD i Veli... Dalje

Procurio izvorni kod Windowsa XP

Procurio izvorni kod Windowsa XP

Izvorni kod za Windows XP je procurio i sada ga sa torrent sajtova može preuzeti svako ko zna gde da traži. Kod se pojavio kao torrent fajl na veb s... Dalje

Najveći svetski proizvođač naočara pretrpeo napad ransomwarea

Najveći svetski proizvođač naočara pretrpeo napad ransomwarea

Najveći svetski proizvođač naočara Luxottica navodno je pretrpeo sajber napad koji je blokirao rad kompanije u Italiji i Kini. Luxottica zapošlja... Dalje

Za fatalni napad na nemačku bolnicu odgovorni ruski hakeri

Za fatalni napad na nemačku bolnicu odgovorni ruski hakeri

Za sajber napad zbog kojeg je jedna nemačka bolnica odbila lečenje žene koja je nakon toga umrla najverovatnije je odgovorna ruska kriminalna grupa... Dalje