De bibliotheek voor digitale criminaliteit | Cybercrimeinfo.nl | #CCINL

Geen storing maar gijzelsoftware bij 'Garmin'

Gepubliceerd op 27 juli 2020 om 11:29

Het is al dagen niet mogelijk om sportactiviteiten te synchroniseren met de mobiele app 'Garmin Connect'. Dat geldt ook voor andere diensten van het bedrijf.

Volgens Garmin is er sprake van een "storing", maar er gaan ook andere verhalen de ronde op internet. Zo weten anonieme bronnen te vertellen dat Garmin het slachtoffer is van een ransomware-aanval. De daders eisen naar verluidt 10 miljoen dollar aan losgeld.

Storing?!

'Garmin' is een Amerikaans bedrijf dat GPS-navigatieproducten maakt. Niet alleen voor consumenten, maar ook specifiek voor de auto-industrie, marine, vliegtuigbranche en de sportwereld. Een van de meest bekende en gebruikte toepassingen van Garmin, is het tracken en delen van sportprestaties op social media en fitnessapps van derden zoals Strava en Runkeeper.

Sinds donderdagochtend 23 juli is het niet mogelijk om je sportactiviteiten te delen via Garmin Connect. Ook diensten als Garmin Explore, Garmin inReach en flyGarmin zijn momenteel uit de lucht.

In een korte persverklaring laat Garmin weten dat het bedrijf met een storing kampt die van invloed is op Garmin-services. “Als gevolg van de storing zijn sommige functies en services van deze platforms niet beschikbaar voor klanten (…) We werken er hard aan om onze systemen zo snel mogelijk te herstellen. Onze oprechte excuses voor het ongemak”, zo schrijft Garmin.

Openlijke twijfel aan verklaring

Het bedrijf zegt dat consumenten en andere klanten zich geen zorgen hoeven te maken over hun data. Alle activiteits-, gezondheids- en welzijnsgegevens die voor en tijdens de storing worden verzameld, worden opgeslagen op de wearable van Garmin die je gebruikt. Zodra Garmin Connect weer werkt, wordt deze data weer gesynchroniseerd. Er zijn geen aanwijzingen dat persoonlijke informatie is beïnvloed of misbruikt.

WastedLocker ransomware-aanval

Gebruikers zijn niet te spreken over de dagenlange storing bij Garmin en uiten hun ongenoegen op social media. Er wordt ook openlijk getwijfeld over de verklaring van het bedrijf. Diverse media, waaronder ZDNET en BleepingComputer, claimen dat het navigatiebedrijf getroffen is door de 'WastedLocker ransomware-aanval'. Daarbij weten hackers het bedrijfsnetwerk binnen te dringen en de macht over te nemen van computers en andere apparaten die met het netwerk zijn verbonden. Zodoende weten ze dat ransomware in het gehele systeem te verspreiden.

Garmin ransom melding | Bron: BleepingComputer

Bestanden versleuteld met WastedLocker-voorbeeld van Garmin | Bron: BleepingComputer

Anonieme bronnen bevestigen

Anonieme, maar welingelichte bronnen bevestigen dat Garmin het slachtoffer is van een ransomware-aanval. Het bedrijf zou al sinds donderdagochtend daarvan op de hoogte zijn, maar dit bewust voor de buitenwereld verzwijgen. Volgens de bronnen heeft de IT-afdeling zoveel mogelijk computers van het bedrijfsnetwerk afgesloten. Dat gold ook voor computers die van afstand met een VPN verbonden waren met het bedrijfsnetwerk. Andere medewerkers moesten direct hun computer afsluiten. Op deze manier probeerde Garmin de schade te beperken. BleepingComputer heeft de hand weten te leggen op een screenshot waarop te zien is dat een groot aantal bestanden zijn versleuteld door de 'WastedLocker gijzelsoftware'.

Hackerscollectief Evil Corp

Volgens de geruchten is de cyberaanval uitgevoerd door hackers vanuit Taiwan. 'Hackerscollectief Evil Corp', ook wel bekend als de 'Dridex Gang', zou verantwoordelijk zijn voor de aanval.

De groep bestaat uit Russische cybercriminelen die al sinds 2007 slachtoffers maken met ransomware-software. Zij eisen een bedrag van 10 miljoen dollar van Garmin om weer toegang te krijgen tot hun bedrijfsnetwerk. BleepingComputer houdt een slag om de arm en kan het bedrag niet verifiëren.

'Evil Corp' heeft een lange historie van malware- en ransomware-aanvallen. De Russische hackersgroep onder leiding van Maksim Yakubets (32) heeft het afgelopen decennium door middel van malware wachtwoorden en ruim 100 miljoen dollar van honderden banken gestolen.

Yakubets, die nog steeds op vrije voeten is, werd vorig jaar door de Amerikaanse justitie aangeklaagd wegens zijn vermeende betrokkenheid bij de “onvoorstelbare” hoeveelheid cybercrime van de hackersgroep in het afgelopen decennium. Ook twee andere vermeende leden en kopstukken van Evil Corp werden aangeklaagd voor hun betrokkenheid bij de tien jaar durende hackcampagne.

In 2019 loofde de FBI samen met de Britse opsporingsdiensten een bedrag van 5 miljoen dollar uit voor informatie die zou leiden tot Yakubets’ arrestatie.

Zelf ontsleutelen kwestie van jaren

Voor zover bekend is er door Garmin tot op heden geen losgeld betaald aan de hackers. Cybersecurityexpert Rickey Gevers vertelt tegenover RTL Nieuws dat het nagenoeg onmogelijk is om weer toegang te krijgen tot hun systemen als Garmin niet betaalt. “Zelf ontsleutelen zou een kwestie van jaren worden. Als het ze al zou lukken. De versleuteling is vaak waterdicht, uitzonderingen daargelaten”, aldus Gevers.

Volgens de beveiligingsexpert hebben de hackers een Word- of Excel-bestand met kwaadaardige macro’s verstuurd naar het bedrijf. Dit bestand, vermomd als een belangrijk document zoals een factuur, is door een medewerker geopend. Daardoor konden de daders de computer overnemen. Vanuit die ene computer proberen ze het gehele netwerk over te nemen. Alle systemen, inclusief de back-upsystemen, worden geïnfecteerd met de ransomware.

Doxware

Om de computers weer te kunnen gebruiken, moet het slachtoffer losgeld betalen. De meeste bedrijven doen dit, omdat ze iedere dag tonnen of miljoenen verlies leiden als ze hun systemen niet kunnen gebruiken. Om bedrijven extra onder druk te zetten, dreigen hackers weleens klantdata openbaar te maken (doxware). “Als privacygevoelige gegevens op straat komen te liggen, is dat nog een stapje erger”, zo weet Gevers.

Bron: zdnet, bleepingcomputergarminvpngids /  Anton Mous

Gerelateerde berichten


«   »