Da li je Garmin ipak prekršio američke sankcije i platio napadačima ključ za dešifrovanje

Vesti, 03.08.2020, 11:30 AM

Da li je Garmin ipak prekršio američke sankcije i platio napadačima ključ za dešifrovanje

Garmin je izgleda dobio ključ za dešifrovanje da bi dešifrovao fajlove šifrovane u napadu WastedLocker ransomwarea, objavio je BleepingComputer.

23. jula Garmin je pretrpeo napad zbog koga korisnici nisu mogli pristupiti Garminovim servisima, uključujući Garmin Connect, flyGarmin, Strava i inReach.

Da su napadnuti ransomwareom najpre su potvrdili zaposleni u Garminu objavljujući fotografije šifrovanih računara na društvenim mrežama. Od njih je došla i informacija da su napadači od kompanije tražili da plati 10 miliona dolara na ime otkupa.

Nakon četvrtodnevnog prekida rada, Garmin je objavio da će početi sa vraćanjem usluga, ali je kompanija odbila da komentariše kako su rešili problem.

WastedLocker je ransomware koji se koristi za napade na kompanije i nema poznatih slabosti u algoritmu za šifrovanje. Ovo znači da se dekripter ne može napraviti besplatno.

S obzirom na dokaze do kojih je došao BleepingComputer (softverski paket koji instalira različite sigurnosne programe, sadrži ključ za dešifrovanje, WastedLocker dekripter, i skiptu za pokretanje svega toga), Garmin ima radni ključ za dešifrovanje, što znači da je morao platiti otkupninu napadačima. Nije poznato koliko je plaćeno.

Kada se pokrene pomenuti program, dešifruje se računar, a zatim se uređaj priprema sigurnosnim softverom.

Garminova skripta sadrži vremensku oznaku 07/25/2020, što ukazuje da je otkupnina plaćena ili 24. ili 25. jula.

Koristeći uzorak WastedLockera iz napada na Garmin, BleepingComputer je šifrovao virtuelnu mašinu i testirao dekripter. Pokazalo se da on radi i da dešifruje fajlove.

Sve kompanije trebalo bi da se pridržavaju opšteg pravila o brisanju svih računara nakon napada ransomwarea. Ponovna instalacija je neophodna jer se nikada ne zna šta su se napadači promenili tokom upada. Međutim, čini se da Garmin nije poštovao ove smernice i da je samo dešifrovao uređaje i instalirao sigurnosni softver.

Dekripter iz softvera koji je koristio Garmin sadrži reference za firmu za sajber-bezbednost Emsisoft i za firmu Coveware koja vodi pregovore u ime oštećenih napadima ransomwarea.

Coveware je odbio da da komentar.

I Emsisoft je rekao da ne mogu komentarisati konkretni slučaj, da oni samo prave alate za dešifrovanje i da nisu uključeni u pregovore i plaćanje otkupnine. Emsisoft obično pravi prilagođene dekriptere kada alati koje dostave napadači ne rade kako treba ili ako su kompanije zabrinute da mogu sadržati backdoor.

Pošto se kao mogući krivac za napad na Garmin spominje ruska hakerska grupa Evil Corp kojoj se pripisuju zasluge za nastanak WastedLockera, treba reći da je grupa stavljena na američku listu sankcija zbog korišćenja bankarskog trojanca Dridex i štetu veću od 100 miliona dolara koju je grupa pričinila američkim bankama. To znači da bi plaćanje ovog softvera za dešifrovanje značilo da je Garmin prekršio sankcije.

Zbog ovih sankcija, izvori iz Covewarea rekli su BleepingComputeru da je kompanija početkom jula stavila WastedLocker na svoju listu za koju važe ograničenja i da oni ne vode pregovore za napade povezane sa ovim ransomwareom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi macOS malver ClickLock krade podatke uz pomoć korisnika

Novi macOS malver ClickLock krade podatke uz pomoć korisnika

Istraživači kompanije Group-IB otkrili su novi macOS malver pod nazivom ClickLock Stealer, koji za kompromitovanje uređaja ne koristi ranjivosti op... Dalje

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Google je uklonio popularnu Chrome ekstenziju ModHeader iz Chrome Web Store-a nakon što su istraživači kompanije Stripe otkrili skrivene funkcional... Dalje

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje