Ransomware WastedLocker i atak na firmę Garmin

Jak nie powtórzyć błędów Garmina i ochronić organizację przez cyberatakiem

Cyberataki na firmy mogą mieć „charakter osobisty” i dotknąć na raz miliony użytkowników. Udowodnił to przypadek firmy Garmin, która padła ofiarą groźnego ataku ransomware, który sparaliżował działanie firmy na kilka dni i dotknął miliony użytkowników urządzeń Garmin na całym świecie. 

Garmin to producent systemów nawigacji GPS i smartwatchy. Pod koniec lipca br. nagle wystąpiły problemy ze stroną garmin.com, przestała działać usługa Garmin Connect i synchronizacja urządzeń i aktywności z chmurą. Wystąpiły zakłócenia w całej firmie – nie działały centra wsparcia, produkcja została wstrzymana. W początkowym etapie Garmin komunikował publicznie o wystąpieniu awarii. Jednak rzeczywistość po kilku dniach nierozwiązanego problemu okazała się bardziej skomplikowana. Firma padła ofiarą złośliwego oprogramowania ransomware. Hakerzy zaszyfrowali niektóre systemy firmy i zażądali okupu 10 mln dol. Złamanie mechanizmu szyfrowania okazało się trudne (bądź niemożliwe) i w efekcie po kilku dniach Garmin zdecydował się na zapłacenie cyberprzestępcom okupu w zamian za przekazanie kluczu deszyfrującego. 

Jak do tego doszło
Jedno kliknięcie - świadome lub przypadkowe - może uruchomić złośliwe oprogramowanie i w efekcie doprowadzić do fatalnego i kosztownego w skutkach naruszenia bezpieczeństwa organizacji. Głównym celem ataków ransomware jest zablokowanie dostępu do komputera, do czasu zapłaty okupu przestępcy. Celem takich ataków były głównie pojedyncze osoby, ale okazało się, że dużo bardziej opłacalne dla hakerów jest atakowanie dużych organizacji. W ostatnich latach nastąpiła również zmiana w schemacie ataków, zwłaszcza na firmy produkcyjne i przedsiębiorstwa użyteczności publicznej. Chociaż głównym motywem ataków pozostają korzyści finansowe, to coraz popularniejsze są obecnie ataki typu “wiper”, których celem jest poważne zakłócenie działalności firmy – ofiary ataku. W przypadku ataku „wiper” cyberprzestępcy nadpisują lub usuwają dane w systemach ofiary. Ofiarami takich ataków stał się w tym roku gigant motoryzacyjny Honda, a także producent rowerów Canyon.

W przypadku Garmina cyberprzestępcy wykorzystali ransomware WastedLocker. Jest to ransomware ukierunkowany, przygotowany z myślą o ataku na konkretną firmę. Pierwotnym wektorem ataku byli prawdopodobnie użytkownicy przeglądający wcześniej zaatakowaną przez hakerów stronę internetową. Inną często spotykaną metodą takiego ataku jest też wysłanie wiadomości phishingowej, która nakłania pracowników do otwarcia zainfekowanego pliku. Gdy początkowy wektor ataku zostanie osiągnięty, następuje badanie sieci ofiary. Ma to na celu zidentyfikowanie słabych punktów, a następnie wykorzystanie wykrytych luk i przejęcie kontroli nad punktami końcowymi i serwerami ofiary. Dalsze rozprzestrzenianie się ataku odbywa się zwykle za pomocą aktywowania komponentu „robaka”, który umożliwia przejście z sieci „biurowych” do środowiska produkcyjnego (OT / ICS) i powoduje zakłócenia w całym przedsiębiorstwie. W wielu przypadkach już samo zakłócenie procesów biznesowych jest wystarczające, aby wpłynąć również na produkcję i spowodować duże straty finansowe. Czas trwania incydentu od początkowego ataku do aktywacji składnika szyfrującego, mającego na celu wymuszenie okupu może trwać nawet kilka tygodni. 

Jak się ochronić przed atakami ransomware
Ukierunkowane ataki ransomware na firmy będą się powtarzać. Jednak trzeba też pamiętać, że systematyczne aktualizowanie oprogramowania i łatanie luk w zabezpieczeniach nie wystarczy. W większości przypadków to pracownicy są „na pierwszej linii ognia” i stają się ofiarami stosowanych przez cyberprzestępców socjotechnik i w efekcie pozwalają na przedostanie się złośliwego oprogramowania do organizacji i zainfekowania systemów. Dlatego organizacje, dla których ważne jest bezpieczeństwo, powinny stosować zaawansowane technologicznie rozwiązania zabezpieczające, które nie tylko wcześnie wykryją zagrożenie, ale zatrzymają je i zapobiegną infekcji. 

Przedsiębiorstwa powinny wprowadzić separację sieci, aby zapobiec szybkiemu rozprzestrzenianiu się zagrożeń do środowiska produkcyjnego. Należy również wdrożyć specjalistyczne narzędzia do monitorowania punktów końcowych i sieci OT/ICS, aby wykryć anomalie i wcześnie przerwać złośliwe procesy. Organizacje powinny ocenić specyficzne zagrożenia dla cyberbezpieczeństwa przemysłowego i wdrożyć odpowiednie mechanizmy zapobiegawcze. Ponieważ główny wektor takich ataków opiera się na pobraniu przez użytkownika zainfekowanych plików, należałoby sprawdzić je zanim dotrą do punktów końcowych. Szczególnie firmy produkcyjne muszą zrozumieć to zagrożenie i stworzyć plan przeciwdziałania atakom ransomware ponieważ to one są głównym celem hakerów.

Lepiej zapobiegać atakom, niż być ich ofiarą – technologia CDR
Bezpieczeństwo organizacji przed atakami ransomware można wzmocnić wdrażając technologię CDR (Content Disarm and Reconstruction) np. GateScanner firmy Sasa Software. Narzędzie działa proaktywnie i zapobiega prawie 100% niewykrywalnych zagrożeń oraz ataków z użyciem złośliwego oprogramowania, w tym ransomware. Zmniejsza również zależność od pracowników w obszarze bezpieczeństwa, którzy są pierwszą linią obrony przed atakami phishingowymi.W odróżnieniu od tradycyjnych rozwiązań antywirusowych, technologia CDR - nazywana „oczyszczaniem zawartości” - traktuje każdy plik przychodzący z wiadomości e-mail, przeglądarki stron www, przenośnych nośników danych czy transferu plików B2B, jako potencjalne źródło zagrożenia. Rozkłada pliki i wiadomości e-mail na odrębne komponenty, a następnie usuwa elementy niezgodne z oryginalną specyfikacją, normą ISO czy polityką firmy. W końcowym etapie pliki te są przekształcane w bezpieczne, zneutralizowane i nieszkodliwe kopie, które są funkcjonalne i identyczne jak oryginał. 

Platforma Breach and Attacks Simulation - najlepszą obroną jest atak
Każda organizacja powinna być świadoma zagrożeń i realnie ocenić swoją rzeczywistą gotowość do obrony przed współczesnymi zagrożeniami. Poziom przygotowania (albo nieprzygotowania) na ataki ransomware i inne cyberzagrożenia można sprawdzić stosując rozwiązania BAS (ang. Breach and Attacks Simulation) takie, jak np. platforma Cymulate przeznaczona do przeprowadzania symulacji naruszeń i cyberataków. Rozwiązania BASumożliwiają przeprowadzenie symulowanych ataków na infrastrukturę bezpieczeństwa i weryfikację jej odporności na zagrożenia. Platforma Cymulate to nowoczesne rozwiązanie bezpieczeństwa IT, które pozwala na symulację rzeczywistych ataków w kontrolowanym środowisku stosując najbardziej powszechne wektory i metody ataków (np. ransomware, trojan, phishing, SQL Injection, Cross Site Scripting). Pozwala ocenić poziom bezpieczeństwa w organizacji oraz wskazuje luki w zabezpieczeniach i obszary najbardziej narażone na cyberzagrożenia, a także sposoby poprawy bezpieczeństwa. Umożliwia testowanie poziomu zabezpieczeń zarówno wewnątrz, jak i na zewnątrz organizacji oraz na podstawie standardów branżowych, takich jak NIST RMF, CSVSS, Microsoft DREAD i MITRE ATT&CK Framework. 

Działaj proaktywnie i bądź o krok przed cyberprzestępcami…
Garmin nie jest pierwszą i nie będzie ostatnią ofiarą cyberataku. Dlatego organizacje muszą zaakceptować fakt, że incydenty bezpieczeństwa są nieuniknione. Nie powinny jednak prowadzić do takiej katastrofy, jak miało to miejsce w przypadku Garmina. 
Firma już po całym zdarzeniu wydała oficjalne oświadczenie, w którym potwierdziła, że padła ofiarą cyberataku, w wyniku którego usługi internetowe przestały działać, a część systemów wewnętrznych została zaszyfrowana. Potwierdzono, że atakujący użyli ransomware WastedLocker i mechanizmu szyfrowania, którego specjalistom ds. bezpieczeństwa nie udało się złamać. Oznacza to, że płacąc okup firma Garmin prawdopodobnie nie miała innego wyboru. Nie wiemy jak potoczyłaby się ta historia gdyby Garmin stosował platformę BAS lub technologię CDR. Jedno jest pewne – pobranie przez pracownika zainfekowanego pliku, który mógł zainicjować ten atak, nie byłoby wtedy możliwe... 

Tekst źródłowy: 
https://www.sasa-software.com/inside-the-garmin-cyberattack-anatomy-of-the-wastedlocker-ransomware/