A Garmin está desde a passada quinta-feira com os seus serviços afetados depois de ter sido atacada por ransomware. Conforme foi confirmado por fontes próximas ao ataque e aos funcionários da Bleeping Computer, por trás deste cibercrime está o ransomware WastedLocker. Os serviços Garmin Connect foram obrigados a parar, os funcionários desligaram-se da rede da empresa e há já um dano grave na atividade da empresa.
WastedLocker tem assinatura da Evil Corp, uma organização russa ligada ao cibercrime e que já pediu o resgate dos dados da empresa.
10 milhões de dólares é o preço do resgate
Na passada semana, a Garmin viu os seus serviços serem atacados com um perigoso e danoso malware. O serviço Garmin Connect está inoperante, mas o ataque cibernético na infraestrutura do fabricante de dispositivos portáteis e de GPS também os deixou sem serviço técnico ou suporte para as suas aplicações de navegação. Na ausência de controlo sobre a rede, todos os funcionários foram solicitados a desligar qualquer computador que tivesse acesso aos seus sistemas.
Os ataques de ransomware são uma ameaça para as empresas, dado que os seus dados são cifrados e o preço do resgate, além de ser sempre algo impensável, não garante que os criminosos devolvam o que roubaram.
Conforme temos visto nos últimos anos, muitas empresas foram vítimas com danos significativos. Contudo, conforme referem as autoridades, a vítima nunca deve pagar o resgate, pagar só fomenta o negócio. No caso da Garmin, os invasores solicitaram um resgate de 10 milhões de dólares pela libertação dos seus dados.
WastedLocker, um ransomware costumizado para cada empresa
O crime com este tipo de ferramenta já foi mais grave. Atualmente, o que se vê são casos muito particulares que atingem empresas e de forma personalizada. Segundo o que foi reportado, o ataque à Garmin envolveu o WastedLocker, conforme antecipado pela IThome, e foi confirmado por várias fontes. Uma dessas fontes deixou mesmo uma imagem do que é apresentado no computador Garmin. Todos os ficheiros mostram uma extensão .garminwasted.
Assim, facilmente se percebe que este ataque foi planeado com tempo, pensado à medida e executado com o alvo já bem estudado.
O ataque tem várias fases, onde a onda de impacto se faz sentir por toda a estrutura. Primeiro são os serviços que deixam de funcionar, depois é detetado o problema específico que para o serviço. O medo espalha-se a toda a estrutura que começa a desativar os recursos com receio de contágio.
Isso faz com que a empresa precise de interromper o serviço de todos os seus sistemas ligados, para impedir a propagação do malware. Inicialmente a empresa comunica que é um vírus, mas outras fontes ligadas à Garmin vão mais longe e falam num ataque muito maior.
Oficialmente, numa página FAQ criada para responder a perguntas sobre o ataque, a empresa comunicou que:
A Garmin não têm registo de que a informação foi corrompida, incluindo as atividades, pagamentos e informação pessoal.
Portanto, a esta altura a empresa não sabe se o ataque apenas encriptou os ficheiros ou se também os roubou para mãos de terceiros.
O que é o WastedLocker?
O WastedLocker é um novo ransomware operado por uma organização criminosa conhecida como gangue Evil Corp. A mesma organização associada ao Dridex e ao BitPaymer. Este malware tem variantes, dado que o WastedLocker é muito diferente do BitPaymer. Em comum mantêm apenas a característica de adicionar módulos específicos para diferentes destinos.
Os ataques realizados recorrendo ao WastedLocker são altamente direcionados a organizações muito específicas. Suspeita-se que, durante uma primeira tentativa de penetração, é feita uma avaliação das defesas ativas e a próxima tentativa é especificamente projetada para contornar o software de segurança ativo e outras proteções de perímetro.
Como funcionam os ataques?
O nome do ransomware é derivado do nome do ficheiro criado, que inclui uma abreviação do nome da vítima e a sequência “desperdiçada” (ex. garminwasted).
Para cada ficheiro criptografado, os atacantes criam um ficheiro separado que contém a nota de ransomware. A nota de resgate tem o mesmo nome que o ficheiro associado à adição de “_info”.
Conforme temos visto, os pedidos de resgate são exorbitantes, variando de 500.000 dólares a mais de 10 milhões de dólares em Bitcoin.
Segundo os investigadores do NCC Group, este é o método de funcionamento do WastedLocker:
Primeiro, o Wastedlocker descriptografa as sequências armazenadas na secção .bss e, em seguida, calcula um valor DWORD que é usado posteriormente para localizar sequências descriptografadas relacionadas ao processo de criptografia. Isso é descrito em mais detalhe na secção Criptografia de cadeia. Além disso, o ransomware cria um ficheiro de log lck.log e, em seguida, define um manipulador de exceções que cria um ficheiro de descarga de memória na pasta temp do Windows com o nome do ficheiro como o nome do ficheiro binário do ransomware.
Se o ransomware não for executado com direitos de administrador ou se o host infetado estiver a executar o Windows Vista ou posterior, ele tentará aumentar os seus privilégios. Em resumo, o WastedLocker usa um método de desvio de UAC bem documentado. Escolhe um ficheiro aleatório (EXE / DLL) na pasta Windows system32 e copia-a para o local% APPDATA% com um nome de ficheiro oculto diferente, cria um Alternate Data Streams (ADS) no ficheiro bin, copia o ransomware para o WastedLocker, copia o winsat.exe e winmm.dll para uma pasta recém-criada, localizada na pasta temporária do Windows. Uma vez carregada, a DLL sequestrada (winmm.dll) é corrigida para executar os ADSs mencionados acima.
Empresa americana atacada por organização russa
Estes ataques, que também já fizeram vítimas em Portugal, parecem estar a afetar vários tipos de empresa. Aliás, há alguns meses, as vítimas foram organizações de saúde, um pouco por todo o mundo, e mais recentemente, algumas acusações apontaram a Rússia local onde organizações atentaram ataques a laboratórios para roubar informações sobre o desenvolvimento de vacinas.
Leia também: