Ransomware faz mais uma vítima no Brasil: Caso Garmin
A Garmin é uma empresa de tecnologia americana, que desenvolve produtos de consumo baseados em tecnologia GPS como relógios inteligentes que monitoram batimentos cardíacos e seu aplicativo gratuito que realiza monitoramento das atividades físicas do usuário para realizar relatórios com todas as informações relevantes. A empresa sofreu um ataque cibernético no dia 23 de julho e isto afetou seus sistemas de produção. O ataque foi do tipo “ransomware” que roubou dados e bloqueou com criptografia interna a rede interna da Garmin que ficou sem acesso às suas próprias informações.
Posteriormente, foi descoberto através de uma screenshot compartilhada por um funcionário da empresa que o ataque foi realizado por um ransomware chamado WastedLocker, causando a queda dos principais serviços da empresa por 4 dias. O WastedLocker possui seu foco em corporações e tem suporte a módulos personalizados para se adaptar a um alvo. Os arquivos são criptografados pelo ransomware com a extensão .wasted, precedida pelo nome da companhia atacada.
Há rumores que dizem que o ransomware pertence a um grupo de hackers com sede na Rússia chamado Evil Corp, conhecido por ter originado outros malwares mais famosos e por ter um software de resgate próprio como o BitPaymer. Em comum, possuem a mesma característica de adicionar módulos específicos para diferentes destinos.
Como funciona o Ramsomware WastedLocker
O mecanismo de infecção costuma ocorrer através de arquivos ZIP (provavelmente disfarçados de softwares legítimos) onde contém componentes carregadores de estrutura JavaScript maliciosos do SocGolish que define o perfil da vítima e usam o PowerShell para implantar o Cobalt Strike.payload . Após a carga de transmissão de dados do CobaltStrike ser instalada na máquina da vítima, esta é usada para se movimentar lateralmente pela rede e facilitar a identificação de sistemas adicionais nos quais os invasores podem implantar suas cargas principais.
Após realizar o reconhecimento da rede da vítima, os invasores movem-se para implantar a carga de transmissão de dados do ransomware WastedLocker usando um ou mais utilitários do sistema. Durante a execução em um host de destino, o ransomware irá:
- Tentar elevar os privilégios de execução (se já não estiver executando como administrador)
- Tentar desativar o monitoramento do Windows Defender.
- Instalar-se como um servidor.
Uma vez instalado, a entrega da carga de transmissão de dados está completa e os arquivos são sobrescritos. O ransomware costuma usar a extensão <nome.da.vítima> wasted, enquanto as informações para pagamento do resgaste costumam estar em documento TXT que informa os endereços de email para contato com os criminosos.
Os ataques direcionados do através de ransomware tem aumentado, pois eles são comparativamente mais eficazes e geram resgates mais elevados que os ataques mais comuns de ransomware. O impacto que um grupo de cibercriminosos pode causar contra organizações pode ser devastador e essas invasões enfatizam que há a necessidade que as empresas empreguem tecnologias defensivas robustas e conhecimento especializado em segurança da informação.
O caso Garmin
Na Garmin, os transtornos foram ainda maiores do que parecem, pois a empresa oferece soluções para o mercado profissional e entidades governamentais, trabalhando em áreas como aviação através de sensores, painéis de instrumentos, transponders, sistemas de pilotagem automática e controle de tráfego aéreo. O serviço de comunicação via satélite Garmin InReach e a rede Aviation de soluções para aviação foram afetadas pelo incidente. Pilotos não conseguiam atualizar seus bancos de dados para navegação aérea e alpinistas perderam as capacidades de seus dispositivos profissionais para exploração em terra, utilizados, inclusive para emitir códigos SOS.
No dia 27 de julho, a Garmin emitiu um comunicado sobre o ocorrido, confirmando o ataque cibernético que criptografou alguns de seus sistemas e interrompeu serviços online como funções do website, suporte ao consumidor, aplicativos voltados para o cliente e comunicações da empresa. Segundo a empresa, dados de clientes, incluindo informações de pagamento não foram acessadas, perdidas ou roubadas. O resgate deste tipo de ataque pode chegar a US$ 10 milhões, entretanto, a Garmin não confirmou o nome do ransomware e se pagou pelo resgate.
Quais os avisos que ficaram sobre o caso Garmin
Este ataque evidenciou que os cibercriminosos passaram a mirar em alvos maiores e que a interrupção de serviços pode causar danos a setores importantes como aviação e navegação via satélite. Recentemente, os criminosos tem se aproveitado da pandemia de COVID-19 para criptografar bancos de dados de equipamentos infectados, ameaçando publicá-las para assegurar um o pagamento de um resgate. Dessa forma, evidencia-se uma mudança de tendência dos ransomware, que antes eram voltados para o público final, e agora se tornaram uma arma poderosa contra grandes empresas.
Os cibercriminosos têm investido recursos e conhecimentos significativos para criar novas ameaças e ataques de ransomware. O incidente da Garmin mostrou que as tecnologias de segurança de informação precisam ser cada vez mais avançadas, pois mesmo em época de pandemia, os sistemas tem se mostrado ainda mais vulneráveis. Logo, a indústria precisa se unir para elevar o nível de proteção e dificultar o acesso desses invasores e, dessa forma, evitar danos a setores estratégicos.