Quem está por trás do ataque à Garmin?

O fabricante de dispositivos portáteis e rastreadores GPS Garmin sofreu um ataque de ransomware na semana passada, depois que uma gangue de hackers invadiu sua rede interna e criptografou os servidores da empresa.

O ataque causou um pausa de cinco dias, durante o qual usuários temiam ter roubado dados pessoal junto com o histórico de geolocalização dos servidores Garmin.

Uma prática comum

A prática de roubar dados antes de criptografar a rede da vítima é amplamente difundida entre os grupos de ransomware, que costumam usar dados roubados para forçar as vítimas a pagar o resgate exigido.

No entanto, três empresas de segurança cibernética que falaram com a ZDNet esta semana disseram que o grupo de hackers suspeitos de estar por trás do ataque Garmin é um dos poucos grupos não envolvidos nesta prática particular e não tem histórico de roubo de dados de clientes antes de criptografar arquivos

EVILCORP, o grupo que causou o acidente.

Conhecido como EvilCorpEste grupo de hackers opera fora da Rússia, e dois dos membros da gangue foram indiciados por oficiais dos EUA em dezembro passado por operar o botnet de malware Dridex.

No entanto, enquanto a parte principal do malware do grupo é a grande Dridex botnet, o grupo também está vinculado a operações de ransomware.

Os primeiras incursões do EvilCorp eNa cena do ransomware ocorreu em 2016 quando o grupo começou a distribuir as cepas Locky e Bart, que eles distribuíram em massa pela Internet, visando consumidores domésticos.

Em 2018, a EvilCorp mudou sua forma ao longo do tempo e lançou BitPaymer, uma nova linhagem de ransomware que eles usaram exclusivamente em ataques contra alvos de alto perfilcomo empresas, redes governamentais ou organizações de saúde.

No início de 2020, a EvilCorp evoluiu novamente, substituindo o BitPaymer por uma cepa de ransomware mais nova e melhor chamada. Desperdiçado.

Esta nova versão do Desperdiçado foi identificado como o ransomware que criptografa a rede Garmin, de acordo com funcionários da Garmin que falaram com a ZDNet e muitos outros meios de comunicação.

Nenhum roubo de dados nos ataques anteriores do Bitpaymer e Wastedlocker

Ontem, a Garmin admitiu formalmente ter sofrido um ataque de ransomware nos arquivos 8-K da SEC e em um comunicado à imprensa. Uma frase particular de  comunicado de imprensa chamo a atenção.

"Não temos nenhuma indicação de que quaisquer dados do cliente, incluindo informações de pagamento Garmin Pay ™, foram acessados, perdidos ou roubados.".

Desde o anúncio formal da Garmin ontem, a ZDNet entrou em contato com empresas de segurança cibernética conhecidas por fornecer serviços de resposta a incidentes para ataques de ransomware.

Em entrevistas esta semana, pesquisadores de segurança de Coveware, Emsisoft e Fox-IT disseram à ZDNet que, historicamente, não vi evidências de roubo de dados do usuário durante os últimos ataques BitPaymer e WastedLocker.

“Bitpaymer não tinha histórico de exfiltração de dadosBill Siegel, CEO da Coveware, uma empresa que responde a incidentes e até lida com negociações de pagamento de ransomware, disse ao ZDNet.

"Nos casos do WastedLocker em que estávamos envolvidos, não vimos nenhuma indicação de dados roubados“, disse-nos Fabian Wosar, diretor técnico da Emsisoft.

“Não os vimos [EvilCorp] roubando dados de clientes para usá-los especificamente para forçar as vítimas a pagar”Frank Groenewegen, especialista em segurança da Fox-IT, também disse à ZDNet em um telefonema.

No entanto, Groenewegen não descarta o fato de que ocorreu alguma violação de dados, de uma forma ou outra.

Evilcorp roubou alguns dados do usuário no passado, há muito tempo

Mas Groenewegen avisa que se a EvilCorp não roubou dados visivelmente para uso em extorsão em ataques anteriores do BitPaymer e WastedLocker, isso não significa que eles não estão fazendo isso neste momento, ou que não o farão no futuro.

O executivo da Fox-IT diz que EvilCorp é mais do que capaz de extrair dados, referindo-se a ataques mais antigos.

"Antes de começarem a se concentrar na implementação do ransomware, eles costumavam ter como alvo os processadores de pagamento roubar dados de cartões de débito / créditodisse Groenewegen. A gangue EvilCorp então se virou e vendeu esses dados em fóruns de cardação para obter lucro.

No entanto, com base no que as três empresas de segurança disseram à ZDNet, atualmente, Os dados do usuário Garmin parecem seguros, com base no modus operandi passado do grupo.

Claro, este artigo não é final em sua avaliação, e é apenas uma análise especulativa do incidente da Garmin com base em ataques anteriores da EvilCorp e na experiência das pessoas envolvidas na resposta aos respectivos incidentes.

fonte: zdnet