Издание BleepingComputer опубликовало подробности об атаке вируса-вымогателя на Garmin



    Уже практически четвертые сутки недоступны большинство онлайн-сервисов Garmin Connect для носимой электроники производства Garmin. Вдобавок сейчас продолжаются перебои в работе сайта Garmin.com, не работает колл-центр, онлайн-чат и даже приостановлена часть производственной линии.

    Вечером 25 июля Garmin опубликовала на сайте объявление для пользователей о текущей ситуации. Там также не проясняется причина произошедшего, но обговариваются некоторые моменты — в компании надеются, что им удастся сохранить все пользовательские данные, включая платежи и другую информацию. Также стало ясно, что если сейчас купить новое устройство Garmin, то активировать и подключить его к сети компании не получится еще некоторое время.

    Однако, журналисты издания BleepingComputer получили новую информацию от анонимных сотрудников компании, в том числе подтверждение факта полномасштабной атаки с помощью вируса-вымогателя WastedLocker на Garmin, включая скриншоты с зашифрованными файлами, а также требованием выкупа, в котором сказано, чтобы получатель отправил это электронное письмо на один из двух адресов электронной почты и получил цену за данные компании. Как утверждают неназванные источники в Garmin, злоумышленники потребовали от компании $10 млн.

    Оказалось, что успешная атака с помощью вируса-вымогателя WastedLocker, который смог проникнуть внутрь сети Garmin, произошла в ночь с 22 на 23 июля 2020 года. Многие ПК сотрудников именно с утра четверга 23 июля стали по большей части неработоспособны.

    Специалисты IT-отдела Garmin пытались отреагировать на эту атаку, но оперативно им это сделать не удалось. Им пришлось в экстренном порядке удаленно завершать работу всех ПК и ноутбуков компании по сети, включая домашние компьютеры сотрудников, подключенные через VPN. Однако, этот процесс затянулся. Поэтому они просто стали выключать все ПК и серверы в сети, к которым у них был доступ, так как процесс заражения вирусом и шифрования файлов начал разрастаться лавинообразно.

    Пример скриншота папки в проводнике с ПК сотрудника Garmin с зашифрованными файлами. Тут к каждому зашифрованному файлу добавлено расширение .garminwasted, а также добавлен инфо-файл с примечанием по выкупу. Источник: BleepingComputer.

    В итоге специалистам IT-отдела пришлось вручную отключать все устройства (ПК, коммутаторы, маршрутизаторы, серверы, системы хранения данных), расположенные в центрах обработки данных компании и офисах, чтобы предотвратить дальнейшее распространение вируса. В добавок из-за атаки были отключены не только основные сетевые сервисы, но и производственные отделы компании, включая некоторые линии по производству продукции в Азии. Например, вирус смог проникнуть на ПК, серверы и базы данных компании на фабрике Garmin Taiwan.

    Другой пример скриншота папки в проводнике с ПК сотрудника Garmin с зашифрованными файлами. Источник: BleepingComputer.

    Вдобавок в текстовой части сгенерированных вирусом инфо-файлов с требованием выкупа имеется прямая адресация к компании Garmin.

    Пример скриншота файла с требованием выкупа. Источник: BleepingComputer.

    Также неназванные сотрудники Garmin заявили, что атака вируса-вымогателя WastedLocker началась на Тайване, что совпадает с местоположением одного из пользователей, загрузивших образец в сервис VirusTotal. И далее она распространилась на все ПК и серверы в сети компании. Сейчас в Garmin начали процесс восстановления сервисов, например, стал работать сайт компании, но для полного возвращения компании к обычной работе понадобится не менее нескольких дней или даже недель.

    Ранее 25 июля 2020 года по информации издания ZDNet стало известно, что сервисы и доступ к устройствам Garmin слегли из-за атаки вируса-вымогателя. Этот серьезный инцидент, буквально остановивший работу целой компании, произошел из-за проникновения внутрь закрытой сети Garmin вируса-вымогателя WastedLocker, который смог заразить большинство ПК сотрудников и часть серверов, отвечающих за передачу данных умных часов и другой спортивной электроники Garmin.

    Эксперты ИБ-компании Fox-IT отслеживают появление и использование зловреда WastedLocker с мая 2020 года. По их данным, вымогатель используется исключительно против американских компаний, а суммы выкупов, которые он требует у пострадавших, исчисляются миллионами долларов. При развертывании внутри атакуемой сети вирус шифрует данные на файловых серверах, атакует БД-сервисы, виртуальные машины и облачные среды, нарушает работу приложений для резервного копирования и связанной с ними инфраструктуры, включая удаление резервных копий, чтобы максимально затруднить восстановление информации для пострадавших компаний. Единственное, что WastedLocker не делает — копирование данных перед их шифрованием.

    См. также:

    Комментарии 38

      +2
      Интересно, то, с какой легкостью происходит захват всей инфраструктуры-это особенность Windows систем, или это удобный вектор атаки? В том смысле, что может ли массовый переход на Linux обезопасить компанию от таких атак?
        +4
        В случае целенаправленной атаки никакой Linux вас не защитит. 0day еще никто не отменял.
          +3
          На скриншотах вроде бы Windows7, которая уже не поддерживается. Так что это не 0day
            0
            Sony вообще умудрились годами не обновлять апач на серверах, еще и без фаерволла, из-за чего им в своё время PSN взломали.
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Как я понимаю, Windows система с шифрователем может вполне успешно зашифровать файлы на расшаренных сетевых папках вне зависимости от архитектуры систем, на которых эти ресурсы находятся. А если подключены диски для бэкапов-ещё и бекапы зашифровать. Получается, что наличие Windows в такой среде само по себе угроза безопасности?
              +3
              Наличие кривых рук — это сама по себе угроза безопасности. Шифруется все на что хватает прав пользователя, если права админские, то шифруется сильно больше и проще с доступом. Если бэкапы лежали просто на файлошаре, просто файлами с доступом только для админов — да они тоже зашифруются.

              Но в данном случае была тагретированная атака с основательной подготовкой. Тут уже не особо важно, винды там были, или что то другое.
                0

                Ну тогда невыполнение требований шантажа-это гарантия того, что эти усилия были потрачены впустую. Но то, что эти атаки не прекращаются означает что они все еще выгодны.

                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Тут вопрос какой ущерб (репутационный и материальный) принесёт утрата этих данных. Очень многие платят так как это выгоднее. Была же новость про больницу, которая заплатила, чтобы не потерять данные пациентов.
                    0
                    На чём основано утверждение о таргетированной атаке? Разве просто в сети кто-то из пользователей не мог открыть пришедшее по e-mail сообщение с вредоносным ПО, что привело к распространению?
                      0

                      На это намекает обращение "по имени" в требовании выкупа. А также и название компании в расширении зашифрованых файлов.

                        0
                        Увидел. Но, считаю, что это не очень-то однозначно указывает на адресную атаку. Действительно адресная — это когда письма с конкретным предложением выкупа идут сразу конкретным лицам, принимающим решения, хотя бы с некоторыми подробностями (например, сколько техники поражено, сколько на этом можно потерять денег), а не просто с названием из одного слова. А здесь очевидно, что даже секретаря в компании уговорить бы не смогли.
                          0
                          Так я же не говорил, что однозначно указывает. Намекает. Но ещё более на это намекает масштаб произошедшего. Просто что бы так вот полегла буквально вся инфраструктура (включая сайты, которые как правило ну как-то обособленно отстоят) из-за того, что какой-то рядовой пользователь открыл вложение в почте… Ну это надо иметь крайне не компетентный ИТ-отдел плюс какое-то просто фатальное невезение. Хотя я не исключаю и такой вариант конечно.
                          А вот по письмам конкретным лицам не соглашусь пожалуй. Поставьте себя на место взломщика. Вы им положили вообще всё. Уже никакие письма никуда не дойдут и никто их не прочитает. Это первое. А второе это факт, что «конкретные лица, принимающие решения» имеют такое свойство не читать почту. Или читать, но успешно класть болт на свои обязанности. Мы на Хабре тут часто имеем удовольствие читать посты как кто-то нашел у кого-то дыру, отправил письмо ответственным лицам, а результат как в чёрную дыру. А так рядом с каждым файликом зашифрованным текстовик положил и точно все увидят — и ответственные и не очень, а так же и те кто потом ответственных иметь будет. Ну а масштаб произошедшего и возможные потери они и сами оценят.
                            0
                            Первое я в своё время почти воочию наблюдал сам (шифрование файлов на сервере с компа пользователя через сетевой диск после открытия вложения в электронную почту), но там из-за небольших масштабов, разграничения прав и таки отдельных веб-сервисов удалось избежать серьёзных проблем, а бэкапы помогли разобраться с остальным. Будь такая атака заказной, злоумышленники только зря потеряли бы деньги; никто даже не попытался спросить у них сумму. Склонен таки полагать, что мы были далеко не одни.
                            А по второму — если взлом заказной, вряд ли преступнику обязательно класть всё сразу и тем самым поднимать шум, привлекая внимание в т. ч. к себе, что может потом плохо кончиться. Да и компании наверняка выгоднее решить вопрос по-тихому.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      –1
                      Вы не забывайте, что Garmin контора не маленькая. Бывают данные которые просто невозможно бэкапить из-за их количества.
                        0
                        При должных ресурсах количество не будет иметь значения. А вот актуальность бэкапа при частом обновлении этих данных — может. Но вообще цель бэкапа — не поддержание актуальности данных, а обеспечение возможности аварийного восстановления; часть данных с момента бэкапа до аварии, скорее всего, потеряется.
                          0

                          Зря минисуют, это только в России волевым решением можно забекапить хоть весь интернет на полгода, в крупных компаниях это достаточно не тривиальная задача. Да и в Garmin я не думаю что прям все все зашифровали, зашифровали часть важных данных, бекапы попортили.

                          0
                          А чем ленточное хранилище хуже?
                          Важные данные можно пару раз в неделю записывать на ленту и хранить в сейфе последние несколько недель/месяцев.
                          Так сказать физический барьер.
                            0
                            Так, может, это всё уже есть. Вопросы в том, сколько времени потребуется для аварийного восстановления данных в достаточном для возобновления работы объёме, и какая часть данных при этом будет потеряна. Если речь идёт об интернете вещей (а у Garmin, как я понимаю, часть функционала многих устройств и мобильных приложений завязаны на серверы), данные же от пользователей вообще практически постоянно на серверы приходят.
                      0
                      На какое-то время, думаю, может. Но в случае роста популярности Linux-систем на предприятиях и дома, скорее всего, соответствующие зловреды появятся и для таких систем. Поэтому для противодействия такого рода атакам нужно специально готовить все корпоративные сети, чтобы объём поражения не был очень значительным и (главное) не побуждал поражённых платить преступникам деньги.
                      0
                      есть информация от пути проникновения? Т.е. используют какую-нибудь уязвимость и т.п.?

                      /update:
                      если правильно понял статью:
                      www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates

                      Пытаются убедить запустить «обновление»?
                      Но какой админ это сделает?
                        0
                        Или ч чего-то не понимаю, или видно все же смогли убедить админа, а иначе как объяснить такую высокую скорость распространения в компании? Или у них все под админами работали? Тогда вы правы, даже linux не поможет, если они и там под root'ом все работать будут.
                          +7
                          При развертывании внутри атакуемой сети вирус шифрует данные на файловых серверах, атакует БД-сервисы, виртуальные машины и облачные среды, нарушает работу приложений для резервного копирования и связанной с ними инфраструктуры, включая удаление резервных копий, чтобы максимально затруднить восстановление информации для пострадавших компаний.
                          Не верю я, что вирус-шифратор, вот прям весь такой их коробки с столь широким функционалом.
                          Куда более правдоподобно, что у злодеев появился шелл в систему и они смогли получить права админов предприятия, или доступы к сейфу паролей. Потом явно был анализ систем, что бы найти все по максимуму, затем подготовка атаки с учетом того, какие базоводы и на каких системах используются, какая виртуализация, какое решение для резервного копирования.
                          И только после всего этого, в час Х запускается задача которая параллельно начинает уничтожать все сразу.

                          Либо в ИТ гармина было все настолько плохо, что все подряд сидят по админом предприятия, и бэкапят на файлошару непонятно чем.
                            0
                            Не верю я, что вирус-шифратор, вот прям весь такой их коробки с столь широким функционалом.
                            MalwareBytes так и пишет:
                            The attacks performed using WastedLocker are highly targeted at very specific organizations. It is suspected that during a first penetration attempt an assessment of active defenses is made and the next attempt will be specifically designed to circumvent the active security software and other perimeter protection.
                              0
                              На это как бы намекает адресное послание в txt
                                0
                                Может, я и ошибаюсь, но это не то чтобы очень показательно. Так можно назвать и рабочую группу компа, например. Адресно могли бы и поподробнее что-нибудь написать.
                                  0
                                  Спросить как дети учатся и все ли хорошо с здоровьем?

                                  Мыло что бы прислали тестовый файл для доказательство что расшифровать можно и биткоин кошелек, что бы бабло закинули. Больше можно ничего не писать. Если они ценник озвучили, то точно знали что бэкапов нет, и все зашифровано. С тебя не будут просит миллионы баксов, если не уверены что у тебя там пипец пипец.
                                    0
                                    Как вариант, написать несколько конкретных фамилий с должностями с просьбой передать информацию. И именно высокопоставленных лиц, которых атака сильнее всего затронет. Тогда это точно скажет о том, что атака целенаправленная. А сумма в текстовиках не указана, только адрес, куда обратиться, чтобы узнать размер — как у классических шифровальщиков-вымогателей. И утверждения неназванных источников с указанием суммы только намекают на то, что этой суммой кто-то интересовался, контактируя со злоумышленниками.
                                      0
                                      Зачем? Зачем палить насколько ты глубоко проник в инфраструктуру и не осталось ли у тебя там бэкдоров? Через полгодика же можно повторить.
                                        0
                                        Чтобы сумму поднять раз так в 10 от названной.
                                          0
                                          Может они уже и подняли от их обычного ценника.
                                            0
                                            Может быть. Но я склонен полагать, что написали злоумышленникам с корпоративного адреса, и именно тогда им стало понятно, с кем они имеют дело — можно и ценник поставить.
                                0
                                Последнее тоже встречается, особенно если крупная компания объединяет в себе множество мелких, в каждой из которых свои айтишники и свои правила.
                                +1
                                Удивительно, что акции Garmin почти не отреагировали.
                                Я бы задумался над будущем компании с такой уязвимой инфраструктурой…
                                  0
                                  Я бы даже сказал по другому: «над будущем компании с уничтоженной инфраструктурой». Т.к. одно дело иметь уязвимую инфраструктуру но всё таки иметь (пока). А другое дело уже не иметь никакой. Что мы сейчас по факту и наблюдаем (хотя по их мониторингу что-то вроде начало подниматься). Сейчас большой вопрос смогут ли они вообще оправится после этого.
                                    0
                                    Скорее всего, смогут. Но что-то, думаю, концептуально пересмотрят.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое