Una interrupción global en el gigante de la tecnología de fitness Garmin fue causado por un ataque de ransomware, según dos fuentes con conocimiento directo del incidente.
El incidente comenzó el miércoles por la noche y continuó durante el fin de semana, causando interrupciones en los servicios en línea de la compañía para millones de usuarios, incluyendo Garmin Connect, que sincroniza la actividad y los datos del usuario con la nube y otros dispositivos. El ataque también derribó flyGarmin, su servicio de navegación aérea y planificación de rutas.
Algunas partes del sitio web de Garmin también estaban fuera de línea en el momento de la escritura.
Garmin ha dicho poco sobre el incidente hasta ahora. Un banner en su sitio web dice:
“Actualmente estamos experimentando una interrupción que afecta a Garmin.com y Garmin Connect. Esta interrupción también afecta a nuestros centros de llamadas, y actualmente no podemos recibir ninguna llamada, correo electrónico o chat en línea. Estamos trabajando para resolver este problema lo más rápido posible y disculparnos por este inconveniente “.
En una breve actualización el sábado, Garmin dijo que
“no había indicios de que esta interrupción haya afectado sus datos, incluida la actividad, el pago u otra información personal”.
Garmin estaba tratando de volver a conectar su red después del ataque del ransomware. Una de las fuentes confirmó que el ransomware WastedLocker tenía la culpa de la interrupción.
Uno otro medio de noticias pareció confirmar que la interrupción fue causada por WastedLocker.
Los servicios en línea de Garmin han estado inactivos durante días
WastedLocker es un nuevo tipo de ransomware, detallado por investigadores de seguridad en Malwarebytes en mayo, operado por un grupo de piratas informáticos conocido como Evil Corp. Al igual que otro malware de cifrado de archivos, WastedLocker infecta las computadoras y bloquea los archivos del usuario a cambio de un rescate, que generalmente se exige en criptomonedas.
Malwarebytes dijo que WastedLocker todavía no parece tener la capacidad de robar o filtrar datos antes de cifrar los archivos de la víctima, a diferencia de otros, nuevas cepas de ransomware. Eso significa que las empresas con copias de seguridad pueden escapar de pagar el rescate. Pero las compañías sin respaldo han enfrentado demandas de rescate de hasta $ 10 millones.
El FBI también tiene víctimas desanimadas por mucho tiempo de pagar rescates relacionados con ataques de malware.
Evil Corp tiene una larga historia de ataques de malware y ransomware. El grupo, presuntamente dirigido por un ciudadano ruso Se sabe que Maksim Yakubets utilizó Dridex, un poderoso malware para robar contraseñas que se usó para robar más de $ 100 millones de cientos de bancos en la última década. Más tarde, Dridex también se usó como una forma de entregar ransomware.
Yakubets, quien permanece en libertad, fue acusado por el Departamento de Justicia el año pasado por su presunta participación en la cantidad “inimaginable” de cibercrimen del grupo durante la última década, según los fiscales estadounidenses.
El tesoro también sanciones impuestas en Evil Corp, incluidos Yakubets y otros dos presuntos miembros, por su participación en la campaña de piratería de una década.
Al imponer sanciones, es casi imposible que las empresas con sede en los EE. UU. Paguen el rescate, incluso si así lo desean, ya que a los ciudadanos de los EE. UU. “Generalmente se les prohíbe realizar transacciones con ellos”, según un comunicado del Tesoro.
Brett Callow, un analista de amenazas y experto en ransomware de la firma de seguridad Emsisoft, dijo que esas sanciones lo hacen “especialmente complicado” para las empresas con sede en EE. UU. Que se ocupan de las infecciones WastedLocker.
“WastedLocker ha sido atribuido por algunas compañías de seguridad a Evil Corp, y los miembros conocidos de Evil Corp, que supuestamente tienen conexiones sueltas con el gobierno ruso, han sido sancionados por el Tesoro de los Estados Unidos”, dijo Callow. “Como resultado de esas sanciones, generalmente se prohíbe a las personas estadounidenses realizar transacciones con esos miembros conocidos. Esto parecería crear un campo minado legal para cualquier compañía que esté considerando pagar un rescate de WastedLocker ”, dijo.
Los esfuerzos para contactar a los presuntos piratas informáticos no tuvieron éxito. El grupo usa diferentes direcciones de correo electrónico en cada nota de rescate. Enviamos un correo electrónico a dos direcciones de correo electrónico conocidas asociadas con un incidente anterior de WastedLocker, pero no recibimos respuesta.
Un portavoz de Garmin no pudo ser contactado para hacer comentarios por teléfono o correo electrónico el sábado. (Los servidores de correo electrónico de Garmin han estado inactivos desde el inicio del incidente). Los mensajes enviados a través de Twitter tampoco fueron devueltos. Actualizaremos si recibimos respuesta.