Garmin admite que fue atacado por el ransomware Wastedlocker

La semana pasada la app y servicios de Garmin dejaron de funcionar, la compañía, en un principio aceptó el problema pero no afirmó ser víctima de un ciberataque. Después de unos días se reveló que fueron atacados por Wastedlocker.

Este fue el escenario que se presentó el 23 y 24 de julio: »Alrededor de las 8:30 a.m. ET, Garmin publicó un tweet reconociendo que está experimentando una interrupción generalizada de los servicios que afecta su Garmin Connect y, por lo tanto, su sitio web, aplicaciones móviles y todos sus diversos servicios. Los clientes no pueden acceder a los centros de atención telefónica de Garmin y los equipos de la compañía no pueden acceder a chats, llamadas o correos electrónicos.

A medida que avanzaba el día usuarios comenzaron a afirmar en redes sociales que no se trataba de una simple »caída de sistema», de hecho, algunos mencionaron que trabajadores de la empresa ya hablaban de un ciberataque.

De hecho, en ZDnet, el investigador de ciberamenazas Phil Stokes declaró que »el anuncio parece coincidir con un ataque de ransomware WastedLocker contra la compañía. Varios empleados de Garmin también alegaron que WastedLocker, un ransomware personalizado implementado por Evil Corp, un grupo ruso de delincuentes conocido por sus ataques Dridex y BitPaymer».

Ya el fin de semana -25 de julio- informes señalaron que el ransomware WastedLocker está detrás del ciberataque. Fuentes compartieron fotos con BleepingComputer de un equipo de Garmin con archivos cifrados con la extensión . garminwasted en el nombre de cada archivo. Por lo demás, los cibercriminales responsables del ataque están exigiendo $ 10 millones como rescate de la información.

Según los informes, BleepingComputer había enviado capturas de pantalla que confirmaban listas muy largas de la información de la compañía cifrada por el malware, con una nota de rescate conectada a cada archivo individual.

De acuerdo con un informes revelados en medios , Garmin está “preparando una ventana de mantenimiento de varios días de trabajo para lidiar con las secuelas del ataque, que incorpora el cierre de su sitio web oficial, la asistencia de sincronización de información para el consumidor de Garmin Connect, los servicios expertos de la base de datos de aviación de Garmin, e incluso algunos rastros de producción en Asia «. 

También se ha descrito que la compañía ha cerrado todas las bases de datos y computadoras de los trabajadores que están vinculadas a través de una VPN para proteger contra el despliegue adicional del ransomware.

WastedLocker, un ransomware personalizado contra cada empresa

Los ciberataques de ransomware generalmente fuerzan a los empleados de la compañía a apagar sus dispositivos si no quieren ser afectados. Esto provoca lógicamente la interrupción de los servicios de todos sus sistemas conectados, para evitar que el malware se expanda.

«Garmin no tiene indicios de que esta interrupción haya afectado sus datos, incluida la actividad, el pago u otra información personal», explica Garmin en el FAQ creado para responder dudas por el ataque.

WastedLocker es un malware personalizado para cada objetivo y según describe Bleeping Computer, el malware coincide con la muestra que uno de los empleados subió a VirusTotal. Para introducir el malware, los atacantes habitualmente insertan un código malicioso en pantallas falsas de actualizaciones de software, como por ejemplo del navegador Chrome.