Ende Juli 2020 wimmelte es auf den IT-Nachrichtenwebsites von Berichten über Garmin. Verschiedene Dienste von Garmin, darunter auch die Synchronisierung von Geräten mit der Cloud und Tools für Piloten, wurden deaktiviert. Der Mangel an genauen Informationen seitens Garmin führte zu wilden Theorien. Wir unsererseits beschlossen, vor der Beurteilung der Situation auf einige konkrete Daten zu warten.
In einer offiziellen Stellungnahme bestätigte Garmin, dass das Unternehmen von einem Cyberangriff getroffen wurde, bei dem Online-Dienste unterbrochen und einige interne Systeme verschlüsselt wurden. Die zum Zeitpunkt verfügbaren Informationen deuten darauf hin, dass die Angreifer die WastedLocker-Ransomware verwendet haben. Unsere Experten führten daraufhin eine detaillierte technische Analyse der Malware durch. In diesem Beitrag erläutern wir die wichtigsten Ergebnisse.
WastedLocker Ransomware
Die WastedLocker-Ransomware ist ein Beispiel für gezielte Ransomware, d.h., es handelt sich hierbei um Malware, die so optimiert wurde, dass sie ein bestimmtes Unternehmen angreift. Die Nachricht der Ransomware bezog sich namentlich auf das Opfer, und alle verschlüsselten Dateien erhielten die zusätzliche Erweiterung. garminwasted.
Das kryptographische Schema der Cyberkriminellen weist auf die gleiche Schlussfolgerung hin. Die Dateien wurden mit den AES- und RSA-Algorithmen verschlüsselt, die Ransomware-Entwickler oft kombinieren. Zur Verschlüsselung der Dateien wird jedoch ein öffentlicher RSA-Schlüssel verwendet und nicht ein für jede Infektion eindeutig generierter Schlüssel. Mit anderen Worten, wenn diese Ransomware-Modifikation gegen mehrere Ziele verwendet würde, wäre das Datenentschlüsselungsprogramm universell einsetzbar, da es auch einen privaten Schlüssel geben müsste.
Darüber hinaus weist die Ransomware folgende kuriose Merkmale auf:
- Sie priorisiert die Datenverschlüsselung, d.h. die Cyberkriminellen können ein bestimmtes Verzeichnis von Dateien angeben, die zuerst verschlüsselt werden sollen. Das maximiert den Schaden für den Fall, dass Sicherheitsmechanismen die Datenverschlüsselung stoppen, bevor sie abgeschlossen ist;
- Sie unterstützt die Dateiverschlüsselung auf entfernten Netzwerkressourcen;
- Sie überprüft Privilegien und Rechte und verwendet DLL-Hijacking zur Zugriffserweiterung
Eine detaillierte Analyse der Ransomware finden Sie im englischsprachigen Beitrag WastedLocker: technical analysis auf Securelist.
Wie steht es um Garmin?
Der aktualisierten Stellungnahme des Unternehmens zufolge sind die Dienste wieder einsatzbereit, auch wenn die Datensynchronisation möglicherweise langsam ist und in einigen Einzelfällen noch immer eingeschränkt ist. Das ist verständlich: Geräte, die mehrere Tage lang nicht mit ihren Cloud-Diensten synchronisiert werden konnten, kontaktieren nun alle Server des Unternehmens auf einmal, was die Belastung erhöht.
Garmin erklärt, dass es keine Beweise dafür gibt, dass sich jemand während des Vorfalls unbefugten Zugriff auf Benutzerdaten verschafft hat.
Wie man sich gegen solche Angriffe schützt
Gezielte Ransomware-Angriffe auf Unternehmen werden auch morgen noch existieren.
In Betracht dessen empfehlen wir folgende Schutzmaßnahmen:
- Halten Sie die Software immer auf dem neuesten Stand, insbesondere das Betriebssystem, da die meisten Trojaner bekannte Schwachstellen ausnutzen.
- Verwenden Sie RDP, um den öffentlichen Zugriff auf Unternehmenssysteme zu verweigern (oder verwenden Sie ggf. ein VPN).
- Bringen Sie Mitarbeitern die Grundlagen der Cybersicherheit bei. Meistens ist es Social Engineering, dass Ransomware-Trojaner eindringen lässt und Unternehmensnetzwerke infiziert.
- Verwenden Sie hochmoderne Sicherheitslösungen mit fortschrittlichen Anti-Ransomware-Technologien. Unsere Produkte erkennen WastedLocker und verhindern eine Infektion.