Qualche giorno fa avevamo dato notizia di un grave attacco ransomware che ha colpito Garmin, la famosa società statunitense che sviluppa tecnologie per GPS e dispositivi wereable: l'attacco ha obbligato al down tutti i servizi connessi, paralizzandoli in tutto il mondo. Da Garmin non erano (e non sono tutt'ora arrivate) conferme sul tipo di attacco subito, ma la redazione di Bleeping Computer è riuscita a scoprire il tipo di ransomware usato nell'attacco (ovvero WastedLocker) e ad analizzarne un campione. Qualche giorno dopo, grazie ad un membro del team IT, la redazione ha dato anche notizia della richiesta di riscatto: oltre 10 milioni di dollari.
Il down è durato oltre 4 giorni, dopo i quali, improvvisamente, l'azienda ha rotto il silenzio annunciando di aver iniziato a ripristinare tutti i servizi: difficile non sospettare che possano aver ceduto agli attaccanti e pagato il riscatto per ricevere il decryptor. Ma l'azienda non ha espresso ulteriori commenti e si è barricata nel silenzio stampa.
Ora arriva la conferma: contrariamente a tutte le indicazioni di Governo, NSA, FBI Garmin ha pagato il riscatto. La redazione di Bleeping Computer ha potuto infatti analizzare un eseguibile creato dal Dipartimento IT di Garmin stessa contenente alcuni software di sicurezza e un tool per decriptare le workstation aziendali. Il tool, ovviamente, funziona grazie all'uso della chiave privata posseduta dagli attaccanti ed è impossibile che dal dipartimento IT di Garmin siano riusciti a ricavarla violando l'algoritmo di WastedLocker perchè, ad ora, quell'algoritmo di criptazione non presenta vulnerabilità note. La mancanza di falle, di vulnerabilità, rende chiaro che Garmin non ha ricevuto il tool gratuitamente.
Il pacchetto per il restore dei sistemi include gli installer di alcuni software di sicurezza, la chiave di decriptazione, il decryptor di WastedLocker e uno script per eseguirli tutti assieme.
Fonte: bleepingcomputer.com |
Una volta eseguito, il pacchetto di restore decripta un computer quindi "corazza" l'endpoint con un software di sicurezza specifico. Bleeping ha usato il campione di WastedLocker usato nell'attacco a Garmin, vi ha criptato una virtual machine e poi ha testato il decryptor, per verificarne l'efficacia. Tutti i file sono tornati in chiaro.
La redazione però ha sollevato alcune criticità rispetto alle operazioni di ripristino compiute da Garmin: spiegano infatti che, vedendo il funzionamento del tool prodotto dal dipartimento IT, Garmin si stia limitando a decriptare i sistemi e installare software di sicurezza quando, invece, sarebbe estremamente consigliato procedere all'installazione di una immagine pulita del sistema operativo, visto che non si può mai sapere cosa gli attaccanti hanno cambiato durante l'incursione nella rete aziendale.
La sanzione degli USA contro EvilCorp e le possibili sanzioni a Garmin
WastedLocker è un ransomware gestito dal gruppo di cyber attaccanti chiamato EvilCorp: il Governo degli Stati Uniti ha recentemente preso provvedimenti contro questo gruppo, avente sede in Russia, a causa dei danni economici procurati con la diffusione del malware Dridex, col quale il gruppo ha prodotto ben 100 milioni di dollari di danni. Così il Dipartimento di Stato ha accusato due persone, sospettate di far parte di EvilCorp, di una lunghissima serie di reati e poi ha annunciato un premio di 5 milioni di dollari a chiunque fornirà informazioni che consentiranno la cattura dei leader di EvilCorp.
Stante questo quadro legale, una eventuale contrattazione con EvilCorp e, peggio ancora, il pagamento del riscatto, possono esporre la Garmin a serie ripercussioni legali, ovvero a ingenti multe.
Nessun commento:
Posta un commento