BleepingComputer: Garmin получила ключ для расшифровки файлов после атаки вируса-вымогателя WastedLocker
В начале августа 2020 года издание BleepingComputer опубликовало информацию, что специалисты Garmin все же получили ключ для расшифровки файлов, с помощью которого можно было дешифровать информацию после масштабной атаки вируса-вымогателя WastedLocker на сервисы компании.
Согласно данным издания Sky News, Garmin выплатила злоумышленникам многомиллионный выкуп, чтобы получить этот ключ. На данный шаг компании пришлось пойти ради ускорения процесса восстановления пользовательских сервисов и дешифрования части информации на ПК сотрудников и серверах компании, которая не была сохранена в корпоративной системе резервного копирования.
Журналисты BleepingComputer ранее получили в распоряжение от анонимных источников несколько копий зашифрованных файлов, который были созданы при атаке на Garmin. Издание также получило информацию от неназванного источника в компании, что злоумышленникам заплатили выкуп, чтобы получить дешифровщик. Причем сумма выкупа составила около $10 млн.
Позже BleepingComputer получили копию ключа для дешифрования, который использовали IT-специалисты Garmin для расшифровки данных на рабочих станциях сотрудников компании. Оказалось, что системные администраторы Garmin даже создали специальный пакет ПО для восстановления, который включает в себя корпоративное ПО безопасности, отдельный файл с ключом расшифровки, исполняемый файл-дешифровальщик WastedLocker, а также пошаговое описание по использованию этого пакета. Предполагалось, что даже обычный пользователь, используя это ПО, сможет дома восстановить свои зашифрованные файлы и обновить ПО системы безопасности.
IT-специалисты Garmin даже создали специальный скрипт для работы этого пакета восстановления.
Причем скрипт Garmin содержит метку времени »07/25/2020», а это через два дня после атаки. Вероятно, что именно 24 или 25 июля компанией был получен файл для дешифования.
Специалисты BleepingComputer смогли успешно дешифровать с помощью этого пакета восстановления ранее полученные зашифрованные файлы с ПК сотрудника Garmin. Также они обнаружили, что этот сценарий восстановления данных не предусматривает последующее форматирование диска и чистую установку новой ОС на зараженный ПК. Хотя, это может быть выполнено IT-специалистами Garmin позже, а сейчас компании важно вернуть данные.
Вдобавок в BleepingComputer обнаружили, что находящийся в пакете для восстановления Garmin дешифратор имеет внутри ссылки на две компании, одна из которых специализируется на кибербезопасности — это Emsisoft, а вторая занимается переговорами с распространителями вымогателей — это Coveware. Обе компании отказались от комментариев по этому инциденту с Garmin.
Однако в Emsisoft пояснили, что они только создают инструменты для расшифровки, а не участвуют в схемах по организации выкупов. В компании рассказали, что к ним часто обращаются крупные клиенты, которые заплатили выкуп и им был предоставлен дешифратор, но он действует медленно или там могут быть закладки. Поэтому суть бизнеса Emsisoft — извлечь код для расшифровки из купленных у хакеров файлов и создать на его базе проверенное программное решение, которое может расшифровывать данные быстрее и с меньшим риском повреждения или потери данных и без внедрения кода в другие системы заказчика.
Ранее с 24 июля 2020 года стали недоступны большинство онлайн-сервисов Garmin Connect для носимой электроники производства Garmin. Вдобавок начались перебои в работе сайта Garmin.com, не работал колл-центр, онлайн-чат и даже была приостановлена часть производственной линии компании. Оказалось, что этот серьезный инцидент, буквально остановивший работу целой компании, произошел из-за проникновения внутрь закрытой сети Garmin вируса-вымогателя WastedLocker. Вирус смог заразить большинство ПК сотрудников и часть серверов, отвечающих за передачу данных умных часов и другой спортивной электроники Garmin. Также из-за атаки вируса стали недоступны целые производственные отделы компании, включая некоторые линии по производству продукции в Азии. Например, шифровальщик смог проникнуть на ПК, серверы и базы данных компании на фабрике Garmin Taiwan. В самой компании подтвердили факт инцидента, но не раскрыли его детали. Неназванные специалисты Garmin пояснили, что несколько суток занимались восстановлением IT-инфраструктуры компании.
Garmin заявила, что в настоящее все время сервисы компании, включая Garmin Connect, flyGarmin, Strava, inReach, работают в штатном режиме. Хотя некоторые пользователю до сих пор могут сталкиваться с некоторыми задержками и проблемами при использовании некоторых сервисов Garmin.
We are happy to report that many of the systems and services affected by the recent outage, including Garmin Connect, are returning to operation. Some features still have temporary limitations while all of the data is being processed.
— Garmin (@Garmin) July 27, 2020
См. также: