El ataque de ransomware contra Garmin sería obra de ciberdelincuentes rusos ‘Evil Corp’

Garmin comenzó a restaurar los servicios a los clientes el lunes 27 de julio, después de haber sido víctimas de un ataque de ransomware por 10 millones de dólares, iniciado el 23 de julio. Algunos servicios están funcionando con intermitencia y funcionalidad limitada.

Garmin dijo en un comunicado el lunes que ha comenzado a restaurar los servicios después de un ataque de ransomware que bloqueó “algunos” sistemas el 23 de julio. Aunque la empresa dice no tener indicios de que los delincuentes hayan accedido a los datos de los clientes, el ataque efectivamente interrumpió la funcionalidad del sitio web, los servicios de atención al cliente, las aplicaciones de usuario y las comunicaciones corporativas, según el comunicado.

“Los sistemas afectados están siendo restaurados y esperamos volver al funcionamiento normal en los próximos días”, dijo Garmin. “No esperamos ningún impacto material en nuestras operaciones o resultados financieros debido a esta interrupción”. El comunicado oficial confirma la información anterior de que los hackers habían infiltrado en los sistemas de Garmin y exigían un pago por extorsión para permitir a la empresa reanudar su actividad con normalidad.

Garmin se convierte entonces en la última víctima del rescate de Evil Corp, apodado WastedLocker por los investigadores de la empresa de seguridad cibernética NCC. El malware, detectado por primera vez en mayo de este año, es desplegado de forma “selectiva” por el grupo de ciberdelincuentes, afirma Stefano Antenucci, investigador de NCC, citado por The Guardian. “Típicamente, atacan servidores de datos, servicios de bases de datos, máquinas virtuales y entornos cloud”. Según el experto, los atacantes también tienen como objetivo desactivar o interrumpir las aplicaciones de copia de seguridad y la infraestructura relacionada, lo que aumenta el tiempo de recuperación de la víctima o, en algunos casos, debido a la falta de disponibilidad de copias de seguridad desconectadas o fuera de las premisas, desbarata por completo la capacidad de recuperación. WastedLocker es un ransomware muy peligroso. Un ataque exitoso podría paralizar la red de la víctima, provocando una importante interrupción de sus operaciones y una costosa operación de limpieza.

Kaspersky coincide con NCC en el sentido que se trata de un ataque selectivo y específico. En un comunicado recibido en nuestra redacción, Denis Legezo, investigador senior de seguridad de Kaspersky, señala que técnicamente hablando, WastedLocker es un ransomware dirigido, lo que significa que sus operadores atacan a empresas específicas, en lugar de hosts aleatorios. ”Este no es el único ransomware utilizado de esa manera: Maze y algunas otras familias de ransomware utilizan un esquema similar. Los algoritmos de cifrado en uso no son nada especial para el ransomware moderno y fuerte. Los operadores del ransomware agregan el nombre de la compañía víctima en los mensajes de rescate, donde ofrecen instrucciones sobre cómo contactar a los criminales a través de servicios de correo electrónico seguro, etc. Así que es bastante obvio que saben a quién se están dirigiendo”.

Aunque Garmin no ha confirmado el importe de la extorsión, fuentes consultadas por Bleeping Computer aseguran que se trata de US$ 10 millones.


Contacto | Diario TI es una publicación de MPA Publishing International Ltd.