23 июля услуги Garmin были прекращены. Часы, велокомпьютеры и другие устройства перестали загружать данные, а приложение Garmin Connect начало отображать сообщение, объясняющее, что внезапный сбой произошел из-за «техобслуживания». Пилотное программное обеспечение FlyGarmin и навигационная база данных (используемая для навигационных систем Garmin) также вышли из строя, что, как полагают, привело к остановке некоторых самолетов.
В твиттере бренда было подтверждено, что «произошел сбой в работе Garmin Connect, в результате чего веб-сайт и мобильное приложение Garmin Connect в данный момент не работали», но отключение продолжалось. Это продолжалось, начали распространяться предположения, что это была не просто техническая проблема, а результат атаки программы-вымогателя, которая зашифровала критически важные данные в системах Garmin.
Мы благодарим всех наших клиентов за их терпение и понимание. Для получения дополнительной информации посетите https://t.co/U3vwBre4U2. 27 июля 2020 г.
Tabla de contenido
что случилось
Источники, утверждающие, что знают о ситуации из первых рук, сообщили BleepingComputer, что данные компании были зашифрованы и что злоумышленники требуют выкуп за их разглашение. Источники поделились снимками экрана (предположительно из систем Garmin), на которых показаны заблокированные файлы с именем «GARMIN.WASTED».
ZDNet процитировал отчет тайваньского технического сайта iThome, в котором утверждается, что на тайваньские производственные предприятия Garmin была отправлена служебная записка о том, что «серверы и базы данных» были атакованы, а производственные линии - атакованы. закрыта на двое суток во время восстановления.
Возможность такого нападения очень беспокоила. У Garmin есть много личных данных о своих клиентах: имена, дни рождения, контактная информация, данные GPS и информация о здоровье, а производители программ-вымогателей не всегда просто шифруют данные своих целей. Если выкуп не будет выплачен, они могут продать его или распространить в Интернете.
Пользователи обнаруживают, что их устройства не могут обрабатывать информацию об активности, даже если соединение с облаком было прервано (Изображение предоставлено Garmin)
LaComparacion поговорила с брендом через 48 часов после отключения электричества и получила заявление, подтверждающее, что большая часть их клиентских служб по-прежнему не работает:
«В Garmin произошел сбой, затрагивающий службы Garmin, включая Garmin Connect и Garmin Pilot. Из-за сбоя некоторые функции и сервисы этих платформ недоступны клиентам. Кроме того, сбой затронул наши колл-центры поддержки продуктов, поэтому в настоящее время мы не можем принимать звонки, электронные письма или онлайн-чаты.
«Мы работаем над восстановлением наших систем как можно быстрее и приносим извинения за доставленные неудобства. Дополнительные обновления будут предоставляться по мере их появления. »
Затем бренд направил LaComparacion на короткий период вопросов и ответов, который заверил пользователей, что «у Garmin нет никаких указаний на то, что это прерывание повлияло на их данные, включая активность, платежи или платежи. другая личная информация «.
Сервисы Garmin начали восстанавливаться через четыре дня после атаки (Изображение предоставлено Garmin)
27 июля, через четыре дня после начала сбоя, сервисы Garmin Connect начали снова подключаться к сети, и компания наконец подтвердила, что стала жертвой атаки, зашифровавшей ее данные (хотя она «воздержалась от упоминания о том, потребовали ли злоумышленники выкуп):
«Компания Garmin […] объявила сегодня, что 23 июля 2020 г. она стала жертвой кибератаки, в результате которой были зашифрованы некоторые из наших систем. В результате многие из наших онлайн-сервисов были прекращены, в том числе функции веб-сайтов, обслуживание клиентов, клиент, клиент приложения и корпоративные коммуникации.
«Мы немедленно начали оценивать характер атаки и устранять ее. У нас нет указаний на то, что какие-либо данные клиентов, включая платежную информацию Garmin Pay, были доступны, утеряны или украдены.
Кроме того, функциональность продуктов Garmin не пострадала, за исключением возможности доступа к онлайн-сервисам.
Компания Garmin заверила пользователей, что их данные Garmin Pay не были скомпрометированы в результате атаки (Изображение предоставлено Garmin)
30 июля, когда обслуживание возобновилось, президент и генеральный директор Garmin Клифтон Пембл обратился к атаке в речи во время ежегодного отчета компании.
«[…] Большинство из вас знают о недавней кибератаке, вызвавшей сбой в работе сети, который затронул большую часть нашего веб-сайта и потребительских приложений», — сказал Пембл. Мы немедленно оценили характер «атаки» и начали корректирующие действия. У нас нет никаких признаков того, что данные клиентов были взломаны, утеряны или украдены.
Кроме того, функциональность продуктов Garmin не пострадала, за исключением возможности доступа к определенным онлайн-сервисам. Критически важные бизнес-системы были восстановлены, и мы планируем восстановить остальные системы в ближайшие несколько дней. Благодарим вас за терпение и добрые слова поддержки. У нас были клиенты и друзья в этом испытании ».
Мои данные в безопасности?
Предположительно. Компания Garmin использовала любую возможность, чтобы заверить своих пользователей в том, что их данные не были скомпрометированы, и в недавнем отчете TechCrunch со ссылкой на два источника, утверждающих, что они «знают об инциденте из первых рук», говорится, что использованная программа-вымогатель, похоже, не была способна кражи или извлечения данных из заблокированных файлов.
Ваши ежедневные данные во время отключения были записаны на вашем устройстве, будь то аккумулятор вашего тела, уровень стресса или ежедневное количество шагов, и теперь эти данные необходимо синхронизировать с серверами Garmin.
А Страва?
Strava напрямую не пострадала, но тренировки, записанные на устройства Garmin, не загружались во время сбоя. График статистики Strava показывает полное падение бизнеса Garmin с 23 июля, при этом общее количество загрузок сократилось на треть.
Тренировки начали постепенно синхронизироваться со Strava 27 июля, но Strava предупредила, что из-за размера невыполненной работы синхронизация всех действий может занять неделю или больше, поэтому не беспокойтесь, если ваши тренировки будут отображаться медленно. . Если вы не можете ждать так долго, вы можете вручную загрузить свои действия в Strava.
Загрузка Strava с устройств Garmin была полностью приостановлена 23 июля (Изображение предоставлено: TheComparison)
Кто был позади?
Это не было подтверждено, но имя GARMIN.WASTED, данное заблокированным файлам, предполагает, что рассматриваемая программа-вымогатель является вариантом WastedLocker, которым управляет российская банда, известная как Hacking Corp, и которая может быть адаптирована для атаки. очень конкретные цели. Как сообщает Sky News, в прошлом году министерство финансов США наложило на членов группы санкции за совершение «двух самых страшных схем взлома и банковского мошенничества за последнее десятилетие».
Если бы это было так, это могло бы поставить Garmin в очень затруднительное положение. Санкции запрещают американцам совершать сделки с преступниками, и, поскольку Garmin — американская компания, выплата выкупа за разблокировку файлов может быть именно таковой. Однако неясно, будет ли это применяться при вымогательстве у компании или частного лица, но анонимные источники, которые разговаривали со Sky, сказали, что Garmin не платила злоумышленникам напрямую за утечку их данных.
Что такое программа-вымогатель?
Программа-вымогатель — это тип вредоносного программного обеспечения (вредоносного ПО), которое шифрует данные, делая их бесполезными до тех пор, пока жертва не заплатит за ключ дешифрования. Оплата требуется в биткойнах, поэтому ее невозможно отследить, и она используется для финансирования преступной деятельности. Также нет гарантии, что оплата позволит вам восстановить ваши данные.
Домашние пользователи могут пострадать от программ-вымогателей, но банды считают гораздо более прибыльным нацеливаться на компании, у которых есть много конфиденциальных данных и достаточно глубокие карманы, чтобы заплатить крупный выкуп.
Как объясняет Malwarebytes, атаки WastedLocker требуют выкупа в размере от 50,000 40,000 евро (около 70,000 10 евро, 8 14 австралийских евро) до более XNUMX миллионов евро (около XNUMX миллионов евро, XNUMX миллионов австралийских евро) в биткойнах.
Существуют инструменты для удаления, существует так много различных разновидностей программ-вымогателей, которые шифруют файлы по-разному, вы можете расшифровать свои файлы только в том случае, если точно знаете, чем вас заразили, и один разработчик смог создать решение. . .
Лучший способ борьбы с программами-вымогателями — делать упреждающие и регулярные резервные копии, чтобы вы могли восстановить свои файлы без уплаты штрафа. Эти резервные копии должны быть полностью отделены от остальной части вашей системы, иначе они также могут быть зашифрованы.
Атаки могут быть адаптированы для конкретной организации или даже конкретного человека, который может получить установщик вымогателя как часть очень подлинного электронного письма от коллеги, заполненного информацией, которую третья сторона вряд ли узнает.
«Атаки программ-вымогателей ужасно распространены», — сказал TechRadar эксперт по информационной безопасности Грэм Клули. «Это один из самых важных видов киберпреступлений за последние годы. Они затронули как отдельных лиц, так и организации, иногда принося киберпреступникам миллионы долларов.
«Очевидно, что не каждый может позволить себе платить, а это означает, что он рискует потерять не только ценную работу, но и незаменимые файлы сентиментальной ценности, такие как семейные фотографии. Боевой дух? регулярное и безопасное резервное копирование и убедитесь, что они работают.
