El ataque de ransomware contra Garmin se cree que es el trabajo de &#39Evil Corp&#39 | Tecnología


Se cree que un ataque de ransomware que dejó el negocio de GPS y relojes inteligentes Garmin completamente fuera de línea durante más de tres días fue llevado a cabo por una pandilla cibercriminal rusa que se hace llamar «Evil Corp».

Garmin comenzó a restablecer los servicios a los clientes el lunes por la mañana, luego de ser retenido como rehén por un rescate de $ 10 millones, aunque algunos servicios todavía funcionaban con una funcionalidad limitada.

Se cree que el ataque ha sido el último de una larga serie de ataques contra compañías estadounidenses que se han ganado al presunto líder de los cibercriminales, Maksim Viktorovich Yakubets, de 33 años, un Recompensa de $ 5 millones en su cabeza del FBI. Esa recompensa es la más alta jamás ofrecida por un cibercriminal.

A diferencia de aquellos detrás de algunos brotes de ransomware de alto perfil anteriores, como las notorias campañas WannaCry y NotPetya de 2017, Evil Corp históricamente se ha centrado mucho en cómo selecciona y ataca a sus objetivos. En lugar de perseguir a los usuarios finales y las pequeñas empresas, que pueden ser fáciles de engañar para que abran un archivo adjunto de correo electrónico malicioso pero es poco probable que paguen rescates significativos por sus datos, la organización ha desplegado una mezcla de destreza técnica e ingeniería social para atacar objetivos importantes como como bancos, organizaciones de medios y ahora compañías tecnológicas.

El ransomware es la forma más común de malware prison actualmente en uso. Los objetivos se infectan comúnmente a través de correos electrónicos maliciosos, que pueden engañarlos para que descarguen y ejecuten el program, o mediante la explotación de vulnerabilidades en otro software package como Adobe Flash. Cuando se activa el programa de ransomware, cifra el disco duro del usuario con una clave de cifrado de un solo uso, antes de mostrar un mensaje pidiendo un rescate, generalmente en forma de pago en la criptomoneda Bitcoin.

Por lo normal, aunque no siempre, pagar el rescate realmente restaura el acceso a los archivos cifrados, lo que significa que muchas empresas y organizaciones se han encontrado financiando los equipos criminales que lanzan ataques de ransomware. Incluso se sabe que las organizaciones que regularmente respaldan sus datos pagan el rescate, ya que el tiempo requerido para restaurar completamente una crimson grande y complicada a partir de una copia de seguridad puede ser de muchos días, durante los cuales no se pueden hacer negocios.

WannaCry, una de las piezas de ransomware más famosas, logró congelar gran parte del NHS en mayo de 2017. El malware hizo uso de una vulnerabilidad en el sistema operativo Windows de Microsoft para propagarse automáticamente entre las computadoras, lo que le permitió atravesar rápidamente el mundo. El ataque fue lanzado por un grupo de ciberdelincuencia denominado investigadores de Lazarus, que se cree que es un equipo respaldado por el estado y administrado por el gobierno de Corea del Norte.

La mayoría de los ataques de ransomware son muy diferentes de WannaCry, e involucran infecciones altamente dirigidas de grandes objetivos que probablemente pagarán un rescate elevado para recibir sus datos a su debido tiempo.

Alex Hern

Garmin fue la última víctima del ransomware de Evil Corp, denominado WastedLocker por investigadores de la firma de seguridad informática NCC. El malware, visto por primera vez en la naturaleza en mayo de este año, se implementa de manera «selectiva» por el equipo, dice Stefano Antenucci de NCC. “Por lo basic, llegan a servidores de archivos, servicios de bases de datos, máquinas virtuales y entornos en la nube.

«Por supuesto, estas opciones también estarán muy influenciadas por lo que podríamos llamar su» modelo de negocio «, lo que también significa que deberían poder deshabilitar o interrumpir las aplicaciones de respaldo y la infraestructura relacionada. Esto aumenta el tiempo de recuperación para la víctima, o en algunos casos debido a la falta de disponibilidad de copias de seguridad fuera de línea o fuera del sitio, impide la capacidad de recuperación en absoluto «.

Mientras que WannaCry y NotPetya utilizaron vulnerabilidades en Microsoft Home windows para infectar automáticamente nuevas computadoras, WastedLocker se distribuye de una manera más específica. Si bien aún no se sabe cómo Garmin fue víctima del ransomware a principios de julio, los investigadores del equipo de inteligencia de amenazas de la empresa de seguridad cibernética Symantec identificaron una posible ruta: sitios world-wide-web de periódicos secuestrados.

Un editor estadounidense había sido atacado por Evil Corp y, sin saberlo, alojaba malware en sus sitios world wide web de periódicos, según Symantec. Ese malware se usó para infectar a los visitantes seleccionados con un segundo conjunto de computer software que les dio a los atacantes de Evil Corp una ruta para instalar WastedLocker y mantener a la compañía en rescate.

Si bien Symantec declinó nombrar al editor, los periódicos o las víctimas, la compañía dijo que el ataque había afectado al menos a 31 organizaciones hasta la fecha, «incluidos muchos nombres conocidos. Además de una serie de grandes compañías privadas, había 11 compañías que cotizan en bolsa, ocho de las cuales son compañías Fortune 500. Todas las organizaciones seleccionadas, excepto una, son propiedad de los EE. UU., Con la excepción de que es una subsidiaria con sede en los EE. UU. De una multinacional en el extranjero ”.

Escribiendo casi un mes antes de la interrupción de Garmin, Symantec advirtió: “Los atacantes detrás de esta amenaza parecen ser hábiles y experimentados, capaces de penetrar en algunas de las corporaciones mejor protegidas, robar credenciales y moverse con facilidad a través de sus redes. Como tal, WastedLocker es una pieza de ransomware altamente peligrosa. Un ataque exitoso podría paralizar la pink de la víctima, provocando una interrupción significativa en sus operaciones y una operación de limpieza costosa.

Garmin Connect sincroniza los datos de rendimiento de actividades deportivas, como correr, nadar y andar en bicicleta, con aplicaciones de teléfonos inteligentes como Strava.



Garmin Hook up sincroniza los datos de rendimiento de actividades deportivas, como correr, nadar y andar en bicicleta, con aplicaciones de teléfonos inteligentes como Strava. Fotografía: Samuel Gibbs / The Guardian

Sin embargo, Evil Corp instaló WastedLocker en los sistemas de Garmin, el siguiente paso del ransomware fue el mismo: se cargó a través de las partes más sensibles de la crimson de la compañía y los archivos esenciales cifrados, antes de exigir un rescate a cambio de la clave de descifrado.

Aunque Garmin no confirmó el nivel del rescate solicitado, se cree que ronda los $ 10 millones, según una fuente citada por el sitio de la industria Bleeping Pc.

Para el lunes por la mañana, Garmin había logrado restaurar muchos servicios, según un panel de estado que publicó. Pero Garmin Connect, que permite a los usuarios cargar datos de los rastreadores de actividad física a Garmin y a otros servicios como Strava, funciona con «funcionalidad limitada»: muchas cargas están «en cola» o «retrasadas», incluida la integración de Strava.

Incluso antes de WastedLocker, Evil Corp se había convertido en uno de los grupos de ciberdelincuencia más notorios que operan hoy. En diciembre de 2019, el gobierno de EE. UU. Tomó medidas contra la organización por su campaña «Dridex», que utilizó malware para obtener credenciales de inicio de sesión de los bancos y provocó el robo de más de $ 100 millones. La campaña llevó al Departamento de Justicia de los Estados Unidos a acusar penalmente a dos de los miembros del grupo y al Departamento de Estado, ofreciendo una recompensa de $ 5 millones por información que ayude a capturar o condenar a Yakubets.



Enlace a la noticia authentic