23 lipca usługi Garmin zostały wycofane. Zegarki, liczniki rowerowe i inne urządzenia przestały pobierać dane, a aplikacja Garmin Connect zaczęła wyświetlać komunikat wyjaśniający, że nagła awaria była spowodowana „konserwacją”. Oprogramowanie pilota FlyGarmin i baza danych nawigacji (używane w systemach nawigacyjnych Garmin) również zawiodły, co prawdopodobnie spowodowało uziemienie niektórych samolotów.
Tweet od marki potwierdził, że „przeżywała awarię wpływającą na Garmin Connect, w wyniku czego witryna Garmin Connect i aplikacja mobilna nie działały w tej chwili”, ale w miarę kontynuacji przerwy. Kontynuowano, zaczęły krążyć spekulacje, że był to nie tylko problem techniczny, ale wynik ataku ransomware, który zaszyfrował krytyczne dane w systemach Garmin.
Dziękujemy wszystkim naszym klientom za cierpliwość i zrozumienie. Aby uzyskać więcej informacji, odwiedź stronę https://t.co/U3vwBre4U2. 27 lipca 2020 r.
co się stało
Źródła twierdzące, że mają wiedzę z pierwszej ręki o sytuacji, powiedziały BleepingComputer, że dane firmy zostały zaszyfrowane, a napastnicy żądali okupu za ich udostępnienie. Źródła udostępniły zrzuty ekranu (podobno z systemów Garmin) przedstawiające zablokowane pliki o nazwie „GARMIN.WASTED”.
ZDNet zacytował raport tajwańskiego serwisu technicznego iThome, który twierdzi, że do tajwańskich zakładów produkcyjnych firmy Garmin wysłano notatkę informującą, że zaatakowano „serwery i bazy danych”, a linie produkcyjne zostały zaatakowane. zamknięte na dwa dni podczas odzyskiwania.
Możliwość takiego ataku była bardzo niepokojąca. Firma Garmin posiada wiele danych osobowych swoich klientów: nazwiska, daty urodzin, dane kontaktowe, dane GPS i informacje o stanie zdrowia, a twórcy oprogramowania ransomware nie zawsze po prostu szyfrują dane swoich celów. Jeśli okup nie zostanie zapłacony, mogą go sprzedać lub rozpowszechnić w Internecie.
Użytkownicy stwierdzają, że ich urządzenia nie mogą przetwarzać informacji o aktywności, mimo że połączenie z chmurą zostało przerwane (zdjęcie: Garmin)
LaComparacion rozmawiał z marką 48 godzin po awarii i otrzymał oświadczenie potwierdzające, że większość usług dla klientów była nadal offline:
„Garmin ma awarię dotyczącą usług Garmin, w tym Garmin Connect i Garmin Pilot. Z powodu awarii niektóre funkcje i usługi tych platform nie są dostępne dla klientów. Ponadto nasze centra obsługi produktów są dotknięte awarią i dlatego obecnie nie możemy odbierać połączeń telefonicznych, e-maili ani czatów online.
„Pracujemy nad jak najszybszym przywróceniem naszych systemów i przepraszamy za wszelkie spowodowane niedogodności. Dodatkowe aktualizacje będą dostarczane, gdy staną się dostępne. »
Następnie marka skierowała LaComparacion na krótki okres pytań i odpowiedzi, który zapewnił użytkowników, że „Garmin nie ma żadnych przesłanek, że ta przerwa wpłynęła na ich dane, w tym aktywność, płatności lub płatności. inne dane osobowe «.
Usługi Garmin zaczęły odzyskiwać się cztery dni po ataku (zdjęcie: Garmin)
27 lipca, cztery dni po rozpoczęciu przerwy w dostawie, usługi Garmin Connect zaczęły wracać do trybu online, a firma ostatecznie potwierdziła, że padła ofiarą ataku polegającego na zaszyfrowaniu jej danych (chociaż „powstrzymano się od wzmianki o tym, czy napastnicy zażądali okup):
„Garmin […] ogłosił dzisiaj, że padł ofiarą cyberataku, który zaszyfrował niektóre z naszych systemów 23 lipca 2020 r. W rezultacie wiele naszych usług online zostało przerwanych, w tym funkcje strony internetowej, obsługa klienta, klient, klient aplikacje i komunikacja korporacyjna.
„Natychmiast zaczęliśmy oceniać charakter ataku i go zaradzić. Nic nie wskazuje na to, że jakiekolwiek dane klienta, w tym informacje o płatnościach Garmin Pay, zostały udostępnione, zgubione lub skradzione.
Ponadto funkcjonalność produktów Garmin nie uległa zmianie, z wyjątkiem możliwości dostępu do usług online.
Garmin zapewnił użytkowników, że ich dane Garmin Pay nie zostały naruszone podczas ataku (zdjęcie: Garmin)
30 lipca, gdy usługi zostały wznowione, prezes i dyrektor generalny Garmin, Clifton Pemble, odniósł się do ataku w przemówieniu podczas corocznej rozmowy o zyskach firmy.
„[…] Większość z was zdaje sobie sprawę z niedawnego cyberataku, który spowodował awarię sieci, która wpłynęła na dużą część naszej witryny internetowej i aplikacji konsumenckich” – powiedział Pemble. Natychmiast oceniliśmy charakter „ataku” i rozpoczęliśmy działania naprawcze. Nic nie wskazuje na to, że dane klienta zostały udostępnione, utracone lub skradzione.
Ponadto nie ma to wpływu na funkcjonalność produktów Garmin, z wyjątkiem możliwości dostępu do niektórych usług online. Przywrócono krytyczne systemy biznesowe, a pozostałe planujemy przywrócić w ciągu najbliższych kilku dni. Dziękujemy za cierpliwość i miłe słowa wsparcia. Mieliśmy klientów i przyjaciół w tym wyzwaniu «.
Czy moje dane są bezpieczne?
Prawdopodobnie. Garmin wykorzystał każdą okazję, aby zapewnić swoich użytkowników, że ich dane nie zostały naruszone, a niedawny raport TechCrunch, powołujący się na dwa źródła, które twierdzą, że mają „wiedzę z pierwszej ręki o incydencie”, mówi, że użyte oprogramowanie ransomware nie było odpowiednie kradzieży lub wydobycia danych z zablokowanych plików.
Twoje codzienne dane podczas awarii były rejestrowane na Twoim urządzeniu, czy to poziom naładowania baterii, poziom stresu czy dzienna liczba kroków, i te dane muszą teraz zostać zsynchronizowane z serwerami Garmin.
A Strava?
Strava nie została bezpośrednio dotknięta, ale treningi zarejestrowane na urządzeniach Garmin nie zostały pobrane podczas awarii. Wykres statystyk Strava pokazuje całkowity spadek w działalności Garmina od 23 lipca, przy ogólnej liczbie pobrań o jedną trzecią.
Treningi zaczęły stopniowo synchronizować się ze Strava 27 lipca, ale Strava ostrzegła, że ze względu na rozmiar zaległości synchronizacja wszystkich aktywności może potrwać tydzień lub dłużej, więc nie martw się, jeśli Twoja pojawia się powoli. . Jeśli nie możesz czekać tak długo, możesz ręcznie przesłać swoje aktywności do Strava.
Pobieranie Strava z urządzeń Garmin zostało całkowicie zawieszone 23 lipca (Źródło zdjęcia: TheComparison)
Kto był z tyłu?
Nie zostało to potwierdzone, ale nazwa GARMIN.WASTED nadana zablokowanym plikom sugeruje, że omawiane oprogramowanie ransomware jest odmianą WastedLocker, który jest obsługiwany przez rosyjski gang znany jako Hacking Corp i może być przystosowany do ataków. bardzo konkretne cele. Jak donosi Sky News, członkowie grupy zostali sankcjonowani przez Departament Skarbu USA w zeszłym roku za popełnienie „dwóch najgorszych oszustw hakerskich i bankowych w ciągu ostatniej dekady”.
Gdyby to było słuszne, mogłoby to postawić Garmina w bardzo trudnej sytuacji. Sankcje zabraniają Amerykanom zawierania transakcji z przestępcami, a ponieważ Garmin jest amerykańską firmą, zapłacenie okupu za odblokowanie plików może być właśnie tym. Nie jest jednak jasne, czy miałoby to zastosowanie w przypadku wyłudzania firmy lub osoby fizycznej, ale anonimowe źródła, które rozmawiały z Sky, powiedziały, że Garmin nie dokonał bezpośredniej płatności na rzecz atakujących w celu ujawnienia ich danych.
Co to jest oprogramowanie ransomware?
Ransomware to rodzaj złośliwego oprogramowania (malware), które szyfruje dane, czyniąc je bezużytecznymi, dopóki ofiara nie uiści opłaty za klucz odszyfrowujący. Płatność jest wymagana w Bitcoin, więc nie można jej śledzić i jest wykorzystywana do finansowania działalności przestępczej. Nie ma również gwarancji, że płatność pozwoli Ci odzyskać dane.
Użytkownicy domowi mogą zostać dotknięci przez oprogramowanie ransomware, ale gangi uważają, że o wiele bardziej opłacalne jest atakowanie firm, które mają dużo wrażliwych danych i mają wystarczająco głębokie kieszenie, aby zapłacić duży okup.
Jak wyjaśnia Malwarebytes, ataki WastedLocker wymagają okupu w wysokości od 50,000 40,000 euro (około 70,000 euro, 10 8 AU) do ponad 14 milionów euro (około XNUMX milionów euro, XNUMX milionów AU) w bitcoinach.
Istnieją narzędzia do usuwania, istnieje tak wiele różnych odmian oprogramowania ransomware, które szyfrują pliki na różne sposoby, możesz odszyfrować swoje pliki tylko wtedy, gdy dokładnie wiesz, czym się zainfekowałeś, a jeden programista był w stanie stworzyć rozwiązanie. . .
Najlepszym sposobem radzenia sobie z oprogramowaniem ransomware jest wykonywanie proaktywnych i regularnych kopii zapasowych, dzięki czemu można przywrócić pliki bez płacenia grzywny. Te kopie zapasowe muszą być całkowicie oddzielone od reszty systemu, w przeciwnym razie równie dobrze mogą być zaszyfrowane.
Ataki mogą być dostosowane do konkretnej organizacji lub nawet konkretnej osoby, która może otrzymać instalator ransomware jako część bardzo autentycznej wiadomości e-mail od współpracownika, zawierającej informacje, których osoba trzecia prawdopodobnie nie zna.
„Ataki ransomware są strasznie powszechne”, powiedział TechRadar ekspert ds. bezpieczeństwa IT Graham Cluley. „To jeden z najważniejszych rodzajów cyberprzestępczości ostatnich lat. Dotknęły one zarówno osoby fizyczne, jak i organizacje, czasami przynosząc cyberprzestępcom miliony dolarów.
„Oczywiście nie każdy może sobie pozwolić na zapłatę, co oznacza, że ryzykuje utratę nie tylko wartościowej pracy, ale także niezastąpionych plików o wartości sentymentalnej, takich jak rodzinne zdjęcia. Morale? regularne i bezpieczne kopie zapasowe i upewnij się, że działają.
