Entenda o ransomware WastedLocker, que atacou a Garmin 

Nossos especialistas fizeram a análise técnica detalhada do principal suspeito no ataque de ransomware na Garmin

No fim de julho, a Garmin foi notícia no mundo da cibersegurança. Vários serviços da empresa foram desativados, incluindo a sincronização de dispositivos com a nuvem e as ferramentas para navegação marítima. A escassez de informações precisas fez com que várias todo mundo especulasse sobre o que aconteceu. De nossa parte, decidimos aguardar alguns dados concretos antes de avaliar a situação.

Em comunicado, a Garmin confirmou que foi atingida por um ciberataque que interrompeu os serviços online e criptografou alguns sistemas internos. As informações disponíveis no momento da redação deste texto indicam que os invasores usaram o ransomware WastedLocker. Nossos especialistas realizaram uma análise técnica detalhada do malware.

Ransomware WastedLocker

O WastedLocker é um exemplo de ransomware direcionado – malware ajustado para atacar uma empresa específica. A mensagem de resgate se referia à vítima pelo nome e todos os arquivos criptografados receberam a extensão adicional .garminwasted.

O esquema criptográfico dos cibercriminosos aponta para a mesma conclusão. Os arquivos foram criptografados usando os algoritmos AES e RSA, que os criadores de ransomware costumam usar em combinação. No entanto, uma chave pública RSA é usada para criptografar arquivos, em vez de uma gerada exclusivamente para cada infecção. Em outras palavras, se essa modificação de ransomware fosse usada em vários destinos, o programa de decodificação de dados seria de uso geral, porque também haveria uma chave privada.

  • Além disso, o ransomware exibe os seguintes recursos curiosos:
  • Prioriza a criptografia de dados, o que significa que os cibercriminosos podem especificar um diretório específico de arquivos para ser criptografado primeiro. Isso maximiza os danos, caso os mecanismos de segurança interrompam a criptografia de dados antes que seja concluída;
  • Suporte para criptografia de arquivos em recursos de rede remota;
  • Verificação de privilégios e uso do recurso de sequestro de DLLs para aumento de privilégios.

Confira uma análise detalhadas do ransomware no Securelist.

Como a Garmin está procedendo?

De acordo com o comunicado mais recente da empresa, os serviços estão funcionando novamente, embora a sincronização de dados possa ser lenta e ainda limitada em alguns casos individuais. Isso é compreensível: os dispositivos que não conseguiram sincronizar com os serviços em nuvem por vários dias agora estão entrando em contato com os servidores da empresa de uma só vez, aumentando a carga.

A Garmin relata que não há evidências de que alguém tenha obtido acesso não autorizado aos dados do usuário durante o incidente.

Como se proteger contra estes ataques

Os ataques direcionados de ransomware às empresas vieram para ficar. Sendo assim, nossas recomendações para se proteger são as de sempre:

  • Mantenha os softwares sempre atualizados, especialmente o sistema operacional – a maioria dos Trojans explora vulnerabilidades conhecidas;
  • Use o Protocolo de Área de Trabalho Remota (RDP, na sigla em inglês) para impedir o acesso público aos sistemas da empresa (ou, se necessário, use uma VPN);
  • Treine os funcionários para que possam saber os conceitos básicos de cibersegurança. Na maioria das vezes, são técnicas de engenharia social nos trabalhadores que permitem que os Trojans de ransomware infectem redes corporativas;
  • Use soluções de segurança de ponta, que tenham tecnologias avançadas contra ransomware. Nossos produtos detectam o WastedLocker e previnem infecções.
Dicas