Aтака на IT-ресурсы Garmin оказалась одним из самых крупных в истории блэкаутов цифровой эпохи. Облачная экосистема компании Garmin оказалась полностью недоступной для пользователей, при этом продукты компании используются во многих сферах: от смарт-часов до авиации и судоходства.
Американская компания Garmin — крупнейший мировой производитель навигационной техники и смарт-часов с выручкой более $3,7 млрд в год. Вечером 23 июля 2020 года пользователи столкнулись с многочасовым сбоем сервисов компании: полностью недоступным стал сервис Garmin Connect для синхронизации данных о физической активности владельцев часов, возникли перебои в работе официального сайта компании и службы поддержки — Garmin не могла принимать ни звонки, ни электронную почту от клиентов. Пострадавшие владельцы устройств Garmin жаловались на зависимость от сетевой инфраструктуры: без облачных сервисов невозможно даже поменять циферблат на часах.
Также перестала работать экосистема партнеров Garmin, построенная на открытых данных, которые вендор отдавал через API. В США появились жалобы пилотов-любителей на невозможность обновления полетных карт из приложения flyGarmin, которые должны быть всегда обновлены до последней версии в соответствии с требованием авиационного регулятора.
WastedLocker против американских компаний
По информации источников издания TechCrunch, причиной инцидента стала хакерская кибератака на ресурсы Garmin. Появившийся в мае 2020 года вирус-вымогатель WastedLocker, как и другие подобные ему вредоносные программы вроде WannaCry, шифрует данные компании-жертвы, удаляя оригиналы файлов, а затем требует круглую сумму в качестве выкупа. Для перевода и «разблокировки» хакеры предлагают перевести выкуп в криптовалюте, как правило, в биткоинах.
По информации аналитиков Symantec, хакерами была атакована как минимум 31 американская организация. Большинство пострадавших — крупные и хорошо известные корпорации. Злоумышленники атаковали самые разные отрасли: производства, IT-компании, СМИ. Пострадавшие компании не могут платить вымогателям: по законам США им запрещено участвовать в любых сделках с членами хакерских группировок. А восстановить данные, не имея резервных копий, невозможно.
Как работает вирус-вымогатель
WaistedLocker — разработанный модульный вирус-вымогатель, шифровальщик, который дорабатывается хакерами под конкретную цель. Это не просто один и тот же код, который рассылается всем компаниям подряд, как это было с известным вирусом WannaCry в 2017 году. Группировка разведывает конкретные проблемы безопасности, после чего дорабатывает модуль вируса и затачивает его под эксплуатацию именно этих уязвимостей.
Компании становятся уязвимыми для хакерских атак из-за несвоевременного обновления ПО, несмотря на найденные и опубликованные уязвимости. Также злоумышленники пользуются тем, что компании не обновляют средства защиты вовремя.
При развертывании внутри сети вирус шифрует данные на файловых серверах, атакует БД-сервисы, виртуальные машины и облачные среды, нарушает работу приложений для резервного копирования и связанной с ними инфраструктуры, включая удаление резервных копий. При этом WastedLocker не копирует данные перед их шифрованием.
Как защитить свой бизнес
Наличие актуальных бэкапов — одно из основных условий защиты бизнеса от атак, на которые стоит обратить особое внимание. Чтобы понять, работают или нет ваши меры в области цифровой безопасности, их нужно проверить на прочность.
Помогут регулярные пентесты: в поисках уязвимостей хакеры постоянно меняют свои инструменты и тактику, а тестирование поможет обнаружить уязвимости раньше злоумышленников. Не забывайте о защите смартфонов сотрудников: согласно исследованию специалистов из Check Point, атаки хакеров на мобильные устройства вошли в топ-3 самых распространенных типов кибератак в 2019 году и составляют 27% от их общего количества.