Il 23 luglio 2020 la società Garmin è stata vittima di un attacco ransomware che ha provocato l’interruzione di molti dei servizi erogati ai clienti. Vediamo cosa è successo.
Chi è Garmin
Fondata nel 1989, la Garmin è una società internazionale con oltre 14.500 dipendenti che si occupa della vendita di prodotti e servizi legati al mondo dei trasporti (sistemi satellitari, action cam, etc…), del fitness (smartwatch), dello sport (navigatori da trekking). Insomma è un’azienda storica che ha sedi in America, Europa e Asia. Garmin quotidianamente permette ai piloti di aerei, ad esempio, di pianificare tratte e rotte satellitari da seguire nei loro viaggi e ad automobilisti, motociclisti ed amanti della nautica, di raggiungere le loro destinazioni. Parliamo quindi di un’azienda leader in alcuni settori di mercato tra cui l’automotive, il fitness, etc..
Cosa è successo
L’azienda, il 23 luglio 2020, ha contratto un’infezione da WastedLocker che ha penetrato i sistemi informatici e ha creato diversi problemi tra cui un malfunzionamento generalizzato dei servizi. La sospensione dei servizi è stata notata subito dai clienti di Garmin poichè tutte le principali categorie di prodotto ne sono state colpite: che si trattasse di uno smartwatch o di un sistema di pianificazione voli, i server di Garmin hanno cessato di rispondere lasciando gli utenti tanto stupiti, quanto preoccupati.
La soluzione si è quasi del tutto risolta oggi, 28 luglio 2020, quando i sistemi sono stati ripristinati e l’operatività è tornata quasi del tutto.
Che cosa è WastedLocker
Si tratta di un ransomware scoperto nei mesi di aprile e maggio 2020 che mantiene il comportamento tipico di altri ransomware (cifratura e propagazione su supporti di rete e di memorizzazione esterni). Per ogni file cifrato viene creato un file di istruzioni per il pagamento del riscatto in Bitcoin con caselle email cifrate in appoggio (a volte su provider come Tutanota, Protonmail, etc…).
Anche in questo caso le chiavi di cifratura in AES sono cifrate con RSA da 4096bit, cosa che le rende potenzialmente introvabili. Un’altra curiosità riguarda il nome dei file distrutti che, una volta cifrati includerebbe anche il nome dell’azienda e la parola wasted. Ad esempio se l’azienda si chiamasse Axium il risultato della modifica del nome del file sarebbe:
Il file Test.pdf diventerebbe test.pdfaxiumwasted
Stando a quanto pubblicato da Symantech, il ransomware sarebbe orientato ad attaccare le aziende manifatturiere e nei mesi scorsi avrebbe letteralmente mietuto diverse vittime. Il grafico riportato di seguito è stato pubblicato dalla stessa Symantech.
I ransomware sono comunque più di un semplice “fastidio” per le aziende: bloccando la produttività essi possono provocare reali oscillazioni persino sui titoli in borsa come dimostrato dal grafico riportato di seguito.
La perdita di valore tra il 23 e il 24 luglio per la garmin è stata significativa calcolando che il tutto è nato per un “semplice” virus informatico e non per una minaccia più seria e/o mirata. Non c’è stata significativa perdita di dati o esportazione dei dati dai server Garmin che, oltre ai dati personali degli utenti, mantengono anche informazioni sanitarie nonchè informazioni finanziarie.
Il 25 luglio 2020, due giorni dopo l’attacco, la Garmin ha pubblicato sul loro sito una FAQ dedicata all’attacco ransomware con lo scopo di informare e rassicurare gli utenti.
Ripristino: tempi, modalità e futuro
Ciò che stupisce degli attacchi ransomware sono le conseguenze provocate dal virus: dall’infezione di un client si arriva al blocco dei servizi dell’azienda, al bocco del sito se non peggio. Ciò lascia intuire che vi sia una configurazione dell’intranet poco attenta a questo tipo di minacce, magari basata sulla mappatura di unità di rete senza risparmiare i server che, magari, dovrebbero godere di un isolamento maggiore. Bisogna comunque dire che cominciano a ridursi i tempi di ripristino. La Garmin ha impiegato 3-4 giorni per tornare all’operatività piena ed è passata da uno stato in cui i servizi erano “non disponibili” ad uno stato intermedio in cui i servizi erogati agli utenti risultavano “limitati”, ossia parzialmente disponibili.
Il futuro è nel cloud?
Certamente è una strada percorribile, grazie anche ad infrastrutture di connessione più veloci e performanti. Che il cloud sia “fatto in casa” o acquisito da un provider, al momento è una delle strade più sicure ma che impatto può avere sulla produttività di tutti i giorni?
Comunicare non è da tutti
Ancora carenti sono gli aspetti comunicativi che non consistono semplicemente nella comunicazione ex-post l’infezione ma anche nella cura della clientela nel durante. In un editoriale dedicato alla Garmin, la rivista Punto Informatico scrive:
Aggiornamento (24/07/2020): dopo diverse ore dagli account social di Garmin ancora tutto tace, mentre gli utenti di tutto il mondo lamentano il malfunzionamento di alcuni servizi connessi ai dispositivi commercializzati.
Fonte: Punto Informatico
La necessità di una risposta, anche piccola, che può concretizzarsi con un “siamo al corrente di malfunzionamenti dei servizi. Vi faremo sapere al più presto.” sarebbe bastato a placare gli animi e ad assicurare una percezione migliore dell’immagine aziendale.
Aggiornamento del 1 agosto 2020: Garmin avrebbe pagato il decryptor
Nonostante il riscatto di 10.000.000 di dollari richiesti per decrittare i dati, Garmin sarebbe entrata in possesso del programma per decrittare i file e avrebbe iniziato a diffonderlo nelle varie sedi. A dare questa notizia è l’editoriale Bleeping Computer. La Garmin non ha negato ne confermato il pagamento del riscatto ma Bleeping Computer è entrata in possesso di immagini interessanti in merito agli script e ai programmi necessari per ripristinare il computer.
Inoltre Bleeping Computer avrebbe messo le mani sul fatidico “Waste Decrypter.exe” e lo avrebbe testato su una macchina virtuale registrandone gli effetti e dimostrando che effettivamente funziona.
