garmin riscatto

Garmin ha ricevuto la chiave di decrittazione per recuperare i propri file crittografati nell'attacco WastedLocker Ransomware.

Il 23 luglio 2020, Garmin ha subito un'interruzione in tutto il mondo, in seguito alla quale i clienti non potevano accedere ai loro servizi connessi, tra cui le soluzioni Garmin Connect, flyGarmin, Strava, inReach.

BleepingComputer è stato il primo a confermare  l'attacco informatico da parte degli operatori di WastedLocker Ransomware, dopo che i dipendenti hanno condiviso foto delle postazioni di lavoro crittografate, ed ha trovato un campione del ransomware utilizzato nell'attacco.

I dipendenti in seguito hanno condiviso con BleepingComputer che la richiesta di riscatto era di 10 milioni di dollari

Dopo un'interruzione di quattro giorni, Garmin ha improvvisamente annunciato di aver iniziato a ripristinare i servizi, cosa che ha fatto subito sospettare gli addetti ai lavori, che avessero pagato il riscatto per ricevere un decryptor.

Garmin si è tuttavia rifiutata di commentare ulteriormente.

Confermato: Garmin ha ricevuto una chiave di decodifica WastedLocker

Nella giornata di oggi però, BleepingComputer ha ottenuto l'accesso a un eseguibile creato dal dipartimento IT di Garmin per decrittografare una workstation e quindi installare alcuni software di sicurezza sulla macchina.

WastedLocker è un ransomware che ha come obbiettivo principale le aziende, ed è all'apparenza senza punti deboli noti nel loro algoritmo di crittografia. Questa "perfezione" nel codice , significa che un decriptatore non può essere realizzato a caso, e sicuramente non gratuitamente.

Per ottenere una chiave di decrittazione funzionante, Garmin deve aver pagato il riscatto agli aggressori. Non si sa quanto sia stato pagato, ma come precedentemente affermato, un dipendente aveva detto che la richiesta di riscatto originale era di 10 milioni.

Se estratto, questo pacchetto di ripristino include vari programmi di installazione di alcuni software di sicurezza, una chiave di decrittografia, un decryptor WastedLocker e uno script per l'esecuzione automatizzata di tutti i software presenti. 

Contenuto della confezione di restauro Garmin

Quando eseguito, il pacchetto di ripristino decodifica il computer e quindi riprepara la macchina con alcuni software di sicurezza.

Script Garmin per ripristinare una workstation

Questo script contiene un timestamp del '25/07/2020 ', il che potrebbe indicare che il riscatto è stato pagato il 24 o il 25 luglio.

Utilizzando l'esempio di WastedLocker dall'attacco Garmin, BleepingComputer ha crittografato una macchina virtuale e testato il decryptor per vedere se avrebbe decrittografato i file. Dai test effettuati, qui il video completo, il decriptatore non ha avuto problemi a decodificare i file.

Tutte le aziende dovrebbero seguire la regola generale di cancellare tutti i computer e installare un'immagine pulita dopo un attacco di ransomware. Questa reinstallazione è necessaria poiché non si sa mai cosa sia stato fatto dagli attaccanti durante la loro incursione.

Sulla base dello script sopra indicato, non sembra che Garmin stia seguendo questa linea guida ma stia semplicemente decodificando le stazioni di lavoro e installando il software di sicurezza.

Decryptor personalizzato

Il decodificatore incluso nel pacchetto include riferimenti sia alla società di sicurezza informatica Emsisoft che alla società di servizi di negoziazione ransomware Coveware.

BleepingComputer ha contattato Coveware, ma hanno riferito che "non commentano alcun incidente di ransomware riportato nei media."

In una risposta simile, Emsisoft ha detto che "non potevano commentare alcun caso", ma che creano strumenti di decodifica e non erano coinvolti nei pagamenti di riscatto.

"Non posso commentare casi specifici, ma in generale, Emsisoft non ha alcun coinvolgimento nella negoziazione o nella transazione dei pagamenti di riscatto. Semplicemente creiamo strumenti di decodifica", ha detto Brett Callow, analista di minacce presso la società di sicurezza Emsisoft.

Emsisoft produce comunemente decrittatori di ransomware personalizzati, per lo più quando gli strumenti forniti dagli attaccanti  non sono funzionanti, o se le aziende temono che possano contenere backdoor.

"Se il riscatto è stato pagato ma il decriptatore fornito dall'aggressore è lento o difettoso, possiamo estrarre il codice di decrittazione e creare una soluzione personalizzata che decodifica fino al 50 percento più velocemente con meno rischi di danni o perdita di dati", come si può leggere nella pagina dei servizi di recupero della Emsisoft.

Poiché Evil Corp è stato riconosciuto come creatore di WastedLocker è stato inserito nell'elenco delle sanzioni statunitensi per l'utilizzo di Dridex il quale ha causato danni finanziari per oltre 100 milioni di dollari; il pagamento di questo ransomware potrebbe comportare pesanti multe da parte del governo.

A causa di queste sanzioni, fonti note della Coveware hanno dichiarato che la società di negoziazione ha inserito WastedLocker nella loro lista riservata all'inizio di luglio e non sta gestendo le negoziazioni per attacchi correlati.

Garmin non ha risposto alle domande fino a questo momento.


Euro Informatica S.p.A., leader in questo settore può metterti a disposizione la decennale esperienza nel monitorare e identificare qualsiasi rischio remoto. Disponiamo di moltissime soluzioni e tecnologie, chiavi in mano, che permetteranno alla tua azienda di rendere da subito le soluzioni di smart working semplici e sicure, permettendo ai tuoi collaboratori di essere subito nelle condizioni di lavoro ottimali e sicure sia per loro ma soprattutto per tutta l’infrastruttura di rete della tua azienda.

Il nostro team è a tua disposizione per informazioni sui nostri servizi. Contattaci gratuitamente.