Catégories
Conseils e-commerce

Garmin confirme que les services ont été améliorés par une attaque de ransomware | Le piratage


Stratégies axées sur la valeur pour l'ère du streaming

Obtenez le nouveau guide de Vlocity: Les 7 avantages commerciaux de la transformation numérique dans les médias et le divertissement.
Découvrez des stratégies clés pour utiliser une nouvelle valeur commerciale à l'ère numérique. Téléchargez l'eBook.

Garmin a confirmé lundi que bon nombre de ses services en ligne ont été perturbés par une cyberattaque sur ses systèmes survenue le 23 juillet 2020.

Les services perturbés par l'attaque, qui cryptaient les données sur les systèmes, comprenaient les fonctions du site Web, le support client, les applications destinées aux clients et les communications de l'entreprise, a indiqué la société dans un communiqué.

"Nous n'avons aucune indication que des données client, y compris les informations de paiement de Garmin Pay, ont été consultées, perdues ou volées", a déclaré la société. "De plus, la fonctionnalité des produits Garmin n'a pas été affectée, à l'exception de la possibilité d'accéder aux services en ligne.

Garmin est spécialisé dans le développement de la technologie GPS des produits de navigation et de communication. Il dessert les marchés de l'automobile, de l'aviation, du fitness, de la marine et du plein air.

L'entreprise a estimé que les opérations reviendraient à la normale "dans quelques jours". Cependant, Garmin a averti que lorsque les systèmes sont restaurés, il peut y avoir des retards dans le traitement des informations en retard.

Aucun impact significatif n'est attendu sur les opérations ou les résultats financiers en raison de la panne, a ajouté la société.

L'évaluation des dégâts de Garmin peut cependant être trop optimiste. «Si la violation de données moyenne coûte 8,9 millions de dollars à la victime (US), alors dans ce cas, c'est probablement plus que cela», a affirmé Chlo Messdaghi, vice-président de la stratégie chez Point3 Security, un fournisseur d'outils de formation et d'analyse pour le secteur de la sécurité. à Baltimore, Md.

"Avec WastedLocker, l'attaque paralyse également le réseau et le remettre en marche devient extrêmement coûteux", a-t-elle déclaré à TechNewsWorld. WastedLocker est le ransomware censé être utilisé dans l'attaque Garmin.

Charge utile personnalisée

La sortie sur Garmin a les caractéristiques d'une attaque ransomware typique.

"La tactique habituelle des cybercriminels contre les ransomwares consiste à obtenir un accès initial à une organisation, à effectuer des attaques d'escalade de privilèges pour obtenir un accès administrateur à l'ensemble de l'environnement, à rechercher et supprimer des sauvegardes si possible, puis à exécuter leur ransomware pour chiffrer autant d'ordinateurs que possible", a expliqué Chris Clements, vice-président de l'architecture des solutions chez Cerberus Sentinel, une société de conseil en cybersécurité et de tests d'intrusion à Scottsdale, en Arizona.

«Sans confirmation, il est impossible de dire si les attaquants ont pu localiser et supprimer les sauvegardes de Garmin, mais la panne de plusieurs jours qui en résulte démontre que même avec une stratégie de sauvegarde hautement sécurisée, les attaques de ransomwares peuvent perturber massivement les victimes», a-t-il déclaré. TechNewsWorld.

Alors que des tactiques courantes ont été utilisées par les attaquants, leur logiciel semble être personnalisé pour Garmin. «Les charges utiles des ransomwares sont personnalisées pour chaque client individuel, de sorte que les extensions de ransomwares Garmin ont été« gaspillées »», a expliqué Tom Pace, vice-président des solutions d'entreprise mondiales chez Blackberry.

«Ils sont également sélectifs dans les actifs qu'ils ont tendance à cibler dans les environnements des victimes pour maximiser les dommages et la probabilité qu'un client effectue le paiement de la rançon», a-t-il déclaré à TechNewsWorld.

Bien qu'il y ait eu quelques attaques de ransomwares à haute visibilité, la plupart d'entre elles sont conservées sur le Q.T. Ce n'était pas le cas avec l'intrusion de Garmin. «Le trait distinctif le plus notable de cette attaque est sa visibilité dans le monde extérieur», a observé Saryu Nayyar, PDG de Gurucul, une société de renseignement sur les menaces à El Segundo, en Californie.

«Garmin fournit de nombreux services liés à leurs appareils et logiciels de cartographie, et cette attaque a eu un impact considérable sur ces services, c'est pourquoi les gens du monde entier en ont pris note», a déclaré Nayyar à TechNewsWorld.

Connexion russe

Les rapports sur l'attaque du ransomware l'ont lié à des pirates informatiques russes, principalement en raison du logiciel malveillant utilisé dans l'intrusion.

"L'attribution est toujours un problème délicat, mais dans le cas de WastedLocker, le ransomware se signe en fait comme WastedLocker", a expliqué Ben Dynkin.
co-fondateur et PDG d'Atlas Cyber ​​Security, un fournisseur de services de cybersécurité à Great Neck, N.Y.

"Bien que des tiers puissent déployer cette variante de ransomware, il est très raisonnable d'attribuer l'activité au syndicat cybercriminel Evil Corp", a-t-il déclaré à TechNewsWorld. "Le département du Trésor américain a clairement et sans ambiguïté attribué la conduite d'Evil Corp à des ressortissants russes dans d'autres opérations."

"Nous ne pouvons pas attribuer de façon définitive qu'il s'agit d'une activité sanctionnée par l'État – même s'il existe des preuves que des responsables militaires russes sont impliqués dans Evil Corp.", a-t-il poursuivi. "Cela signifie que nous pouvons attribuer cette activité aux criminels russes, mais pas à l'État russe."

Garmin serait une cible typique pour Evil Corp, a ajouté Messdaghi de Point3. "Nous n'avons vu aucune indication que Evil Corp a attaqué des petites entreprises ou des particuliers", a-t-elle déclaré. "Ils s'en prennent aux entreprises avec les moyens et la motivation de payer pour éviter les pertes commerciales."

10 millions de dollars de rançon

Il a également été rapporté que les raiders de ransomware ont demandé 10 millions de dollars pour annuler ce qu'ils ont fait au système de Garmin. Jusqu'à présent, Garmin n'a pas payé de rançon.

«Il n'est jamais recommandé aux entreprises de payer des demandes d'extorsion aux cybercriminels, si cela est possible», a déclaré Clements de Cerberus Sentinel. "Les paiements d'extorsion renforcent à la fois les opérations cybercriminelles responsables et encouragent d'autres organisations à tenter les mêmes attaques."

Il a cependant reconnu que les victimes n'avaient guère d'autre recours que de payer les demandes. "Une tactique courante employée par les gangs de ransomware est de trouver et de supprimer toutes les sauvegardes avant d'exécuter leur chiffrement", a-t-il expliqué. "Cela laisse à la victime le choix de payer la rançon ou de devoir reconstruire son environnement et ses données à partir de zéro."

"Dans le meilleur des cas de ce scénario, la reconstruction à partir de zéro peut prendre des mois et coûter plusieurs fois plus que la demande de rançon", a-t-il poursuivi. "Dans les pires cas, les données critiques chiffrées ne peuvent pas être restaurées et la seule option de récupération est de payer les demandes d'extorsion."

Cependant, payer Evil Corp est plus compliqué que payer l'extorsionneur en ligne typique. «En décembre 2019, le département du Trésor américain a prononcé des sanctions contre l'organisation cybercriminelle Evil Corp», a expliqué James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4, un fournisseur de formation à la sécurité à Clearwater, en Floride.

"Dans le cadre de ces sanctions, aucune organisation américaine n'est autorisée à effectuer des transactions avec le groupe", a-t-il déclaré à TechNewsWorld. "Même si Garmin voulait payer la rançon, ils devraient collaborer avec le Trésor américain, le FBI et d'autres agences gouvernementales pour envoyer les fonds."

Cependant, ces agences gouvernementales pourraient subir des pressions pour fermer les yeux sur toute violation des sanctions si Garmin ne mettait pas tous ses systèmes en ligne sans la coopération d'Evil Corp.

"Le problème est que Garmin contrôle et entretient d'importantes infrastructures et services critiques utilisés par les pilotes et autres, peut-être même par les États-Unis et d'autres forces armées", a expliqué Blackberry's Pace.

«S'ils ne peuvent pas récupérer les données par eux-mêmes et que cela aura une incidence significative sur la sécurité nationale ou les infrastructures critiques, le roc proverbial et un dilemme difficile sembleraient se présenter.


John P. Mello Jr. a été journaliste à ECT News Network
depuis 2003. Ses domaines d'intervention incluent la cybersécurité, les questions informatiques, la confidentialité, le commerce électronique, les médias sociaux, l'intelligence artificielle, le big data et l'électronique grand public. Il a écrit et édité pour de nombreuses publications, y compris le Boston Business Journal, les
Boston Phoenix, Megapixel.Net et Gouvernement
Nouvelles de sécurité
. Envoyez un courriel à John.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *