Garmin dostal dešifrovač pro ransomware, nejspíše musel vyděračům zaplatit
3.8.2020, Jan Vítek, aktualita
Před téměř dvěma týdny zaznamenali uživatelé zařízení firmy Garmin velký výpadek jejích systémů a jak se brzy ukázalo, byl za ním ransomwarový útok. Server BleepingComputer nyní uvádí, že firma dostala dešifrovací klíč, takže je zřejmé, že zaplatila.
Bleeping Computer také přinesl původní informace o útoku na Garmin a nyní přináší další údaje. Už jsme věděli, že jako ransomware byl použit WastedLocker, neboť zaměstnanci Garminu se podělili se snímky, které na to jasně ukazují:
Později pronikla na svět i částka, kterou útočníci požadovali za poskytnutí dešifrovacího klíče a šlo o rovných 10 milionů dolarů. To jen dokládá, že dnešní útoky pomocí vyděračského softwaru už jsou jiné, než bývaly. Dříve šlo především o plošné rozšiřování, tak trochu i phishing, a to s tím, že obvyklý požadavek na zaplacení činil 300 dolarů. Někdy se dali autoři ransomwaru i obměkčit, to třeba když se jejich software začal šířit v zemi, pro jejíž obyvatele je taková suma příliš vysoká. Nyní jde ale často o cílené útoky na firmy či instituce s pečlivě zvolenou částkou.
Bleeping Computer se během víkendu dostal ke spustitelnému souboru, jehož obsah zobrazuje následující snímek. Jde o soubor vytvořený IT oddělením firmy Garmin a obsahuje jednak dešifrovací klíč s příslušným spustitelným souborem a pak bezpečnostní software pro následnou instalaci. To vše je určeno pro instalaci pomocí přiloženého skriptu na všech napadených pracovních stanicích firmy.
Právě WastedLocker se jako ransomware zaměřuje právě na firmy a uvádí se, že nemá známou slabinu, čili pokud se Garmin po čtyřech dnech od útoku dostal k dešifrovacímu klíči, je nasnadě, že za něj zaplatil. Server Bleeping Computer má také k dispozici právě onu verzi WastedLockeru, s jejíž pomocí byl napaden Garmin. S využitím virtuálního systému tak mohl vyzkoušet, zda klíč z obdrženého souboru funguje a ve videu zdokumentoval, že tomu tak skutečně je.
Server také připomíná, že všechny společnosti by měly po útoku ransomwaru provést čistou instalaci svých počítačů, neboť je zřejmé, že jejich aktuální systém byl ovládnut a nikdo nemůže vědět, zda si v něm útočník nenechal otevřená zadní vrátka. Zatím to ale vypadá, že Garmin provádí jen dešifrování dat a instalaci bezpečnostního softwaru, který samozřejmě vůbec nemusí pomoci. Ale pochopitelně nevíme, jaké další kroky firma plánuje.
Pokud tedy společnost Garmin skutečně zaplatila autorům WastedLockeru, kteří se schovávají pod Evil Corp, vystavuje se v USA vysoké pokutě.
Shodou okolností tu také máme zprávu od AEC o americké společnosti CWT, která se zabývá oblastí cestovního ruchu. Její počítače byly napadeny ransomwarem Ragnar Locker (dříve použit i proti energetické firmě Energias de Portugal). Dle příchozí platby ve výši 4,5 mil. dolarů na bitcoinovou peněženku útočníků se CWT rovněž rozhodla zaplatit a vypadá to, že ona suma byla díky rychlému jednání snížena.