Alla fine di luglio 2020, i siti di notizie tecnologiche sono stati pieni di articoli su Garmin. Vari servizi Garmin, tra cui la sincronizzazione dei dispositivi con il cloud e strumenti per piloti, sono stati disattivati. La mancanza di informazioni accurate ha lasciato tutti a teorizzare freneticamente. Da parte nostra, abbiamo deciso di attenerci ad alcuni dati concreti prima di valutare la situazione.
Nella sua dichiarazione ufficiale, l’azienda Garmin ha confermato di essere stata colpita da un cyberattacco che ha interrotto i servizi online e ha cifrato alcuni sistemi interni. Le informazioni disponibili al momento di questo articolo indicano che i cybercriminali hanno utilizzato il ransomware WastedLocker. I nostri esperti hanno effettuato un’analisi tecnica dettagliata del malware e in questo post vi presentiamo i principali risultati.
Il ransomware WastedLocker
WastedLocker è un esempio di ransomware mirato, un malware modificato per attaccare una specifica azienda. Il messaggio di riscatto si riferiva alla vittima per nome e tutti i file cifrati avevano l’estensione aggiuntiva .garminwasted.
Lo schema di cifratura dei criminali informatici porta alla stessa conclusione. I file sono stati cifrati utilizzando gli algoritmi AES e RSA, i cui creatori del ransomware utilizzano spesso in combinazione. Tuttavia, per cifrare i file viene utilizzata una chiave RSA pubblica, piuttosto che una generata in modo univoco per ogni infezione. In altre parole, se questa variante del ransomware venisse utilizzata per colpire più bersagli, il programma per decifrare i dati sarebbe di uso generale, perché dovrebbe esserci anche una chiave privata.
Inoltre, il ransomware presenta le seguenti curiose caratteristiche:
- Prioritarizzazione della cifratura dei dati, il che significa che i criminali informatici possono specificare prima una particolare directory di file da cifrare. Ciò massimizza i danni nel caso in cui i meccanismi di sicurezza interrompano la cifratura dei dati prima che sia completata;
- Supporto per la cifratura dei file su risorse di rete remote;
- Controllo dei privilegi e uso dell’hackeraggio dei file DLL per l’elevazione dei privilegi.
Troverete l’analisi dettagliata del ransomware nel post WastedLocker: analisi tecnica su Securelist (in lingua inglese).
Come procede Garmin?
Secondo la dichiarazione aggiornata della società, i servizi sono di nuovo operativi, anche se la sincronizzazione dei dati potrebbe essere lenta e in alcuni casi è ancora limitata. Tutto ciò è comprensibile: i dispositivi che non sono riusciti a sincronizzarsi con i loro servizi cloud per diversi giorni stanno ora contattando i server aziendali tutti in una volta, aumentando il carico di lavoro.
Garmin riferisce che non vi sono prove che qualcuno abbia ottenuto accesso non autorizzato ai dati degli utenti durante l’incidente.
Come proteggersi da tali attacchi
Gli attacchi mirati con ransomware rivolti alle aziende sono una realtà che persisterà a lungo. Accettando questa situazione, le nostre raccomandazioni per difenderci da questi attacchi sono abbastanza standard:
- Mantenete sempre aggiornato il software, in particolare il sistema operativo, la maggior parte dei Trojan sfrutta le vulnerabilità note;
- Utilizzate un RDP per negare l’accesso pubblico ai sistemi aziendali (o, se necessario, utilizzate una VPN);
- Formate i dipendenti per quanto riguarda le basi della sicurezza informatica. Il più delle volte, è l’ingegneria sociale che permette ai Trojan ransomware di infettare le reti aziendali, sfruttando l’ingenuità dei dipendenti;
- Utilizzate soluzioni di sicurezza all’avanguardia con tecnologie antiransomware avanzate. I nostri prodotti rilevano WastedLocker e prevengono l’infezione.