Expertos: el devastador ataque de ransomware en Garmin resalta el peligro de respuestas de incumplimiento fortuitas


El fabricante de GPS se apresuró a contener las secuelas de un ataque cuando los empleados acudieron a las redes sociales para describir lo que estaba sucediendo.

Concepto de seguridad informática y piratería. El virus Ransomware tiene datos cifrados en la computadora portátil. Hacker está ofreciendo clave para desbloquear datos cifrados por dinero.

Imagen: vchal, iStockphoto

El titán GPS Garmin todavía se está recuperando de las consecuencias de la devastador ataque de ransomware eso ha paralizado su sitio web, interrumpió el soporte al cliente, deshabilitó las aplicaciones y pausó las comunicaciones desde finales del 22 de julio.

Después de días de Preguntas frecuentes opacas y breves declaraciones de Twitter, la compañia envió una respuesta completa a la crisis del lunes, finalmente reconociendo que fue golpeado con un «ataque cibernético que encriptó» algunos de sus sistemas.

Desde que comenzó la disaster, los empleados de la compañía en todo el mundo recurrieron a las redes sociales para admitir lo que la compañía no haría: que fue golpeado con un ataque dañino de ransomware que los excluyó de partes significativas de su propio sistema a nivel mundial. La compañía provocó aún más controversia el lunes cuando fuentes internas le dijeron a Sky News que la compañía period de alguna manera capaz de obtener «la clave de descifrado para recuperar sus archivos de computadora».

Como han señalado los analistas y expertos, el ataque probablemente fue lanzado por una organización de ciberdelincuencia con sede en Rusia llamada acertadamente Evil Corp debido al uso de la cepa WastedLocker de malware. El Departamento del Tesoro de los Estados Unidos presentó cargos y sanciones contra el grupo en diciembre, lo que significa que si los funcionarios relacionados con Garmin pagaran el rescate para liberar sus sistemas, estarían violando estas sanciones y enfrentarían sanciones.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Los analistas de seguridad dijeron que la situación tenía amplias implicaciones considerando la escala del ataque, la mala gestión percibida de la respuesta inicial a la disaster y las personas detrás del crimen.

«No es una sorpresa ver a otra organización ser víctima de un presunto ataque de ransomware. Nuestro reciente Informe de estado de seguridad del correo electrónico descubrió que casi la mitad de las empresas en los EE. UU. se han visto afectadas por ataques de ransomware en el último año «, dijo Carl Wearn, jefe de delitos electrónicos de Mimecast.

«La clave es que mientras las organizaciones continúen pagando, los atacantes verán este enfoque de ataque como financieramente practical».

En un informe anual presentado a la SEC en diciembre, los funcionarios de Garmin notaron cuán dañino sería un ataque cibernético para sus servicios, reputación y más.

En la presentación, la compañía dice que recopila, almacena, procesa y utiliza información personalized de los usuarios, como nombres, direcciones, números de teléfono, direcciones de correo electrónico, información de la cuenta de pago, altura, peso, edad, sexo, frecuencia cardíaca, patrones de sueño, basados ​​en GPS ubicación y patrones de actividad.

«Si nuestras medidas de seguridad o aplicaciones se violan, se interrumpen o fallan, las personas no autorizadas pueden obtener acceso a los datos del usuario», agregó la presentación de la SEC.

«Si nosotros o nuestros proveedores de servicios externos, socios comerciales o aplicaciones de terceros con los que nuestros usuarios eligen compartir sus datos de Garmin experimentaran una violación, interrupción o falla de los sistemas que comprometen los datos de nuestros usuarios o los medios sugirieron que nuestras medidas de seguridad o las de nuestros proveedores de servicios externos fueron insuficientes, nuestra marca y reputación podrían verse negativamente afectadas, el uso de nuestros productos y servicios podría disminuir y podríamos estar expuestos a un riesgo de pérdida, litigios y procedimientos regulatorios. »

El documento también señala que en caso de incumplimiento, la empresa puede no tener más remedio que «proporcionar algún tipo de remedio para las personas afectadas por el incidente».

WastedLocker y Evil Corp

El ransomware WastedLocker, que lleva el nombre de la etiqueta incluida en el ultimate de todos los archivos cifrados, ha estado flotando desde mayo y se ha utilizado específicamente para atacar a empresas de alto nivel. MalwareBytes destacó WastedLocker menos de dos semanas antes del ataque de Garmin, advirtiendo que los ciberdelincuentes de Evil Corp lo estaban usando además de otro malware como Dridex y BitPaymer.

Desde el uso del ransomware, los atacantes han exigido rescates que van desde $ 500,000 a más de $ 10 millones en bitcoin, según Curtis Simpson, CISO de la firma de seguridad de IoT Armis.

«No solo los ataques están dirigidos en la naturaleza, el malware también está personalizado para cada objetivo. El malware se detectó por primera vez en la naturaleza en mayo y en julio, ha estado afectando regularmente a las grandes empresas con resultados de interés periodístico», dijo Simpson. «A diferencia de otros actores que han comenzado a divulgar datos comprometidos en línea y / o vender dichos datos al mejor postor en Dim Web, Evil Corp no ha estado tomando esas medidas cuando las empresas afectadas no pagan los rescates».

Agregó que el enfoque dirigido de Evil Corp ha implicado comprometer las cuentas de los empleados, evaluar sistemáticamente las capacidades y exposiciones de seguridad, y luego deshabilitar capacidades como la protección contra malware antes de explotar las vulnerabilidades para entregar y propagar ampliamente el ataque de ransomware a través del entorno.

El investigador senior de seguridad de Kaspersky, Denis Legezo, dijo que gran parte de lo que el público sabe sobre lo que realmente le sucedió a Garmin proviene de las fotos de los empleados y otras fuentes.

Este no es el único ransomware utilizado de esa manera, según Legezo, con Maze y algunas otras familias de ransomware que utilizan esquemas similares.

«Los algoritmos de encriptación en uso no son nada especial para el ransomware: moderno y fuerte. Es bastante obvio que saben a quién vinieron. Monitoreamos docenas de dominios website relacionados con esta familia de malware. En muchos de estos dominios, registramos el servidor como parte de CobaltStrike, una plataforma de prueba de penetración comercial legítima ampliamente utilizada también por malhechores «, dijo Legezo.

«Esta y otras técnicas utilizadas por los operadores de ataque son bastante similares a los ataques dirigidos más clásicos, que vienen en busca de datos. Pero en el caso de WastedLocker, hasta ahora, no hay signos de nada además del cifrado y la solicitud de pago de rescate».

Don Smith, director senior de Secureworks Counter Risk Device, estaba más preocupado por la creciente frecuencia de este tipo de ataques.

En los últimos dos años, Smith dijo que sus equipos de respuesta a incidentes se han comprometido a ayudar a un número cada vez mayor de víctimas, con un aumento del 100% anual en tales compromisos en los últimos dos años.

«Si Garmin ha sido objeto de un ataque de ransomware posterior a la intrusión, entonces no están solos. Serán uno de los muchos que han sido víctimas de tales ciberdelincuentes. El ransomware posterior a la intrusión es una forma altamente rentable y efectiva de extorsionar a grandes cantidades de dinero. empresas «, dijo Smith.

«Dada una intrusión en la purple, el &#39retorno de la inversión&#39 del ransomware posterior a la intrusión lo convierte en una ruta convincente para la monetización de los ciberdelincuentes. La buena noticia es que puede prevenir estos ataques. No es fácil, pero es posible». adicional. «Los delincuentes aprovecharán el malware básico para obtener un punto de apoyo inicial en una red, pero luego pasarán tiempo evaluando la mejor manera de atacar a la empresa. Si se pierde el punto de apoyo inicial, una empresa bien instrumentada debería ser capaz de detectar la pisada de los delincuentes como navegan alrededor de la empresa víctima antes de implementar el ransomware «.

Cómo las organizaciones pueden preparar / manejar ataques como este

Los expertos en ciberseguridad tuvieron una variedad de sugerencias cuando se les preguntó qué podían hacer las compañías para evitar un destino identical al de Garmin.

Los ataques de ransomware ahora se están convirtiendo en la norma para las grandes organizaciones, y en 2019 se dispararon los números de ataques. Un informe de Emisoft encontró que había al menos 966 gobiernos de EE. UU., proveedores de atención médica y establecimientos educativos golpeado con ataques de ransomware a un costo de $ 7.5 mil millones.

Desde el inicio de la pandemia de coronavirus, los números disminuyeron en todos los sectores, excepto en el de la atención médica, y las instituciones de la industria informaron un fuerte aumento en el número y la gravedad de los ataques de ransomware.

Torsten George, evangelista de seguridad cibernética con Centrify, dijo que era importante que cada organización implementara primero programas de concientización de seguridad para educar a los empleados sobre cómo se está desplegando el ransomware y cómo evitar ataques de phishing. En este punto, también son necesarias acciones básicas como actualizar el software antivirus y antimalware con las firmas más recientes, así como los análisis regulares.

Las entidades, dijo, deberían crear una lista blanca de aplicaciones que permita que solo programas específicos se ejecuten en una computadora, incluida la desactivación de scripts macro de archivos de Microsoft Place of work transmitidos por correo electrónico.

Como una forma de lidiar específicamente con los ataques de ransomware, las organizaciones necesitan hacer copias de seguridad de los datos regularmente en un entorno no conectado y verificar la integridad de esas copias de seguridad con regularidad, dijo George, y agregó que una solución efectiva de administración de acceso privilegiado usando un enfoque de confianza cero es clave para prevenir los malos actores acceden a sistemas críticos, infraestructura y datos confidenciales.

«Al verificar quién solicita acceso, el contexto de la solicitud, así como el riesgo del entorno de acceso, las organizaciones pueden minimizar el impacto de un ataque de ransomware y evitar que el malware se propague a través de una pink», dijo George.

Simpson de Armis le dijo a TechRepublic que las organizaciones deberían preguntarse si sabrían si un ataque se trasladó de su infraestructura de TI tradicional a redes y dispositivos que son críticos para la fabricación y el servicio a sus clientes intermedios.

Las empresas también deben preguntarse si los equipos de TI y fabricación son conscientes y practicados conjuntamente sobre cómo comunicarse y manejar un evento cibernético con el potencial de impactar operaciones críticas.

«¿Tenemos los controles técnicos modernos requeridos, como las tecnologías de acceso de intermediario que pueden ayudar a descubrir rápidamente el compromiso possible de las credenciales de los empleados, antes de que se notice un impacto mayor? Si nuestra cadena de suministro depende de otros terceros críticos, ¿qué oportunidades tenemos para mitigar los riesgos asociados con uno o más de estos proveedores que sufren un impacto crítico y no pueden respaldar nuestras operaciones? Simpson preguntó.

Wearn de Mimecast dijo que su reciente informe sobre seguridad de correo electrónico encontró que el tiempo de inactividad promedio que una organización sufre de un ataque de ransomware es de tres días, pero a veces puede ser indefinido y conducir al fracaso de un negocio.

Debido al hecho de que las personas detrás de WastedLocker a menudo penetran en los sistemas varias veces antes de desencadenar un ataque completo, las organizaciones deben prestar especial atención a sus patrones de tráfico de crimson y registros de datos para identificar cualquier posible compromiso, dijo, y señaló que existe un potencial breve oportunidad de remediar cualquier infección inicial del gotero y, por lo tanto, evitar la inserción posterior de ransomware.

«Este ataque en individual también es preocupante debido al tipo de datos que podrían perderse, incluidos los datos de ubicación y de salud particular. Cuando los consumidores confían en las organizaciones con estos datos, es absolutamente critical que se mantengan seguros. Incidentes como estos pueden ser devastadores consecuencias para la reputación de una organización «, dijo Wearn.

«Las copias de seguridad no en crimson y un proceso de archivado y correo electrónico alternativo deben convertirse en medidas de seguridad estándar para que las organizaciones mitiguen significativamente las amenazas de ransomware. Los usuarios individuales también pueden ayudar mucho al ser conscientes de la posibilidad de archivos adjuntos inseguros, pero también deben tener cuidado al hacer clic cualquier enlace de correo electrónico recibido en cualquier comunicación, ya que los delincuentes utilizan cada vez más enlaces URL en lugar de archivos adjuntos basados ​​en archivos para infectar redes «.

Agregó que period imperativo ahora más que nunca que el software de trabajo remoto, como las VPN y cualquier servidor, se mantenga actualizado en relación con los parches, ya que los informes de código abierto indican que los actores de amenazas de ransomware se dirigen cada vez más a los ataques y protocolos de escritorio remoto de Home windows. para iniciar un compromiso.

Chris Clements, vicepresidente de arquitectura de soluciones en la empresa de seguridad cibernética Cerberus Sentinel, también dijo que la respuesta de Garmin a la crisis fue un ejemplo de lo que no se debe hacer. Las organizaciones deben implementar un system de respuesta a incidentes official y bien pensado con un equipo de respuesta preseleccionado para tareas clave como la recuperación, el análisis de causa raíz y las comunicaciones públicas.

«Sin recibir detalles de los portavoces oficiales de Garmin, los empleados han estado tuiteando información que puede ser o no precisa y que puede llevar a especulaciones salvajes sobre el alcance y la gravedad de la situación», dijo Clements.

«En una acción de respuesta a incidentes cuidadosamente coordinada, se enviarían instrucciones a todos los empleados para que se abstengan de comunicar información que puede ser incompleta o inexacta. En cambio, los miembros del equipo de IR más involucrados en la situación se comunican a través de un portavoz de la compañía para garantizar esa información sobre el incidente es completo y preciso «.

Ver también





Enlace a la noticia original