Una interrupción global continua en el gigante de la tecnología del deporte y el fitness Garmin fue causado por un ataque de ransomware, según dos fuentes con conocimiento directo del incidente.
El incidente comenzó el miércoles por la noche y continuó durante el fin de semana, causando interrupciones en los servicios en línea de la compañía para millones de usuarios, incluido Garmin Connect, que sincroniza la actividad del usuario y los datos con la nube y otros dispositivos. El ataque también derribó a flyGarmin, su servicio de navegación aérea y planificación de rutas.
Algunas partes del sitio web de Garmin también estaban fuera de línea en el momento de la escritura.
Garmin ha dicho poco sobre el incidente hasta ahora. Un banner en su sitio web dice: “Actualmente estamos experimentando una interrupción que afecta a Garmin.com y Garmin Connect. Esta interrupción también afecta a nuestros centros de llamadas, y actualmente no podemos recibir ninguna llamada, correo electrónico o chat en línea. Estamos trabajando para resolver este problema lo más rápido posible y disculparnos por este inconveniente “.
Las dos fuentes, que hablaron bajo condición de anonimato ya que no están autorizadas a hablar con la prensa, le dijeron a TechCrunch que Garmin estaba tratando de volver a conectar su red después del ataque del ransomware. Una de las fuentes confirmó que el ransomware WastedLocker tenía la culpa de la interrupción.
Otro medio de noticias pareció confirmar que la interrupción fue causada por WastedLocker.
WastedLocker es un nuevo tipo de ransomware, detallado por investigadores de seguridad de Malwarebytes en mayo, operado por un grupo de hackers conocido como Evil Corp. Al igual que otro malware de cifrado de archivos, WastedLocker infecta las computadoras y bloquea los archivos del usuario a cambio de un rescate, generalmente exigido en criptomoneda.
Malwarebytes dijo que WastedLocker todavía no parece tener la capacidad de robar o filtrar datos antes de cifrar los archivos de la víctima, a diferencia de otras cepas de ransomware más nuevas. Eso significa que las empresas con copias de seguridad pueden escapar de pagar el rescate. Pero las compañías sin respaldo han enfrentado demandas de rescate de hasta $ 10 millones.
El FBI también ha desanimado durante mucho tiempo a las víctimas de pagar rescates relacionados con ataques de malware.
Evil Corp tiene una larga historia de ataques de malware y ransomware. Se sabe que el grupo, presuntamente dirigido por un ciudadano ruso Maksim Yakubets, usó Dridex, un poderoso malware para robar contraseñas que se usó para robar más de $ 100 millones de cientos de bancos en la última década. Más tarde, Dridex también se usó como una forma de entregar ransomware.
Yakubets, que sigue en libertad, fue acusado por el Departamento de Justicia el año pasado por su presunta participación en la cantidad “inimaginable” de cibercrimen del grupo durante la última década, según los fiscales estadounidenses.
El Tesoro también impuso sanciones a Evil Corp, incluidos Yakubets y otros dos presuntos miembros, por su participación en la campaña de piratería de una década.
Al imponer sanciones, es casi imposible que las empresas con sede en Estados Unidos paguen el rescate, incluso si así lo desean, ya que a los ciudadanos estadounidenses “generalmente se les prohíbe realizar transacciones con ellos”, según un comunicado del Tesoro.
Brett Callow, un analista de amenazas y experto en ransomware de la firma de seguridad Emsisoft, dijo que esas sanciones lo hacen “especialmente complicado” para las empresas con sede en EE. UU. Que se ocupan de las infecciones de WastedLocker.
“WastedLocker ha sido atribuido por algunas compañías de seguridad a Evil Corp, y los miembros conocidos de Evil Corp, que supuestamente tienen conexiones sueltas con el gobierno ruso, han sido sancionados por el Tesoro de los Estados Unidos”, dijo Callow. “Como resultado de esas sanciones, generalmente se prohíbe a las personas estadounidenses realizar transacciones con esos miembros conocidos. Esto parecería crear un campo de minas legal para cualquier compañía que esté considerando pagar un rescate de WastedLocker ”, dijo.
Los esfuerzos para contactar a los presuntos piratas informáticos no tuvieron éxito. El grupo usa diferentes direcciones de correo electrónico en cada nota de rescate. Enviamos un correo electrónico a dos direcciones de correo electrónico conocidas asociadas con un incidente anterior de WastedLocker, pero no recibimos respuesta.
Un portavoz de Garmin no pudo ser contactado para hacer comentarios por teléfono o correo electrónico el sábado. (Los servidores de correo electrónico de Garmin han estado inactivos desde el inicio del incidente). Los mensajes enviados a través de Twitter tampoco fueron devueltos. Actualizaremos si recibimos respuesta.
Source link