Den 23 juli upphörde Garmins tjänster. Klockor, cykeldatorer och andra enheter hade slutat ladda ner data och Garmin Connect-appen började visa ett meddelande som förklarade att det plötsliga felet berodde på "underhåll". FlyGarmins pilotprogramvara och navigeringsdatabasen (används för Garmins navigationssystem) misslyckades också, vilket antas ha orsakat att några flygplan blev strandsatta.
En tweet från varumärket bekräftade att det "upplevde ett avbrott som påverkade Garmin Connect och som ett resultat fungerade Garmin Connect-webbplatsen och mobilappen för närvarande inte", men när avbrottet fortsatte. Det fortsatte, spekulationer började cirkulera att det inte bara var ett tekniskt problem utan resultatet av en ransomware-attack som hade krypterat kritisk data på Garmin-system.
Vi tackar alla våra kunder för deras tålamod och förståelse. För mer information, besök https://t.co/U3vwBre4U2. 27 juli 2020
vad hände
Källor som påstår sig ha förstahandskännedom om situationen sa till BleepingComputer att företagets data hade krypterats och att angriparna krävde en lösensumma för att släppa den. Källorna delade skärmdumpar (förmodligen från Garmin-system) som visar låsta filer med namnet "GARMIN.WASTED."
ZDNet citerade en rapport från den taiwanesiska tekniska webbplatsen iThome, som hävdar att ett memo skickades till Garmins taiwanesiska produktionsanläggningar som säger att "servrar och databaser" attackerades och produktionslinjer attackerades. stängd i två dagar under återhämtningen.
Möjligheten för en sådan attack var mycket oroande. Garmin har mycket personlig information om sina kunder - namn, födelsedagar, kontaktinformation, GPS-data och hälsoinformation - och ransomware-tillverkare krypterar inte alltid bara sina måls data. Om lösensumman inte betalas kan de sälja den eller lägga ut den på nätet.
Användare tycker att deras enheter inte kan bearbeta aktivitetsinformation trots att anslutningen till molnet har avbrutits (Bildkredit: Garmin)
LaComparacion pratade med varumärket 48 timmar efter avbrottet och fick ett uttalande som bekräftade att de flesta av deras kundtjänster fortfarande var offline:
"Garmin upplever ett avbrott som påverkar Garmins tjänster, inklusive Garmin Connect och Garmin Pilot. På grund av avbrottet är vissa funktioner och tjänster på dessa plattformar inte tillgängliga för kunder. Dessutom påverkas våra callcenter för produktsupport av avbrottet och därför kan vi för närvarande inte ta emot samtal, e-postmeddelanden eller onlinechattar.
"Vi arbetar för att återställa våra system så snabbt som möjligt och vi ber om ursäkt för besväret. Ytterligare uppdateringar kommer att tillhandahållas när de blir tillgängliga. »
Varumärket riktade sedan LaComparacion till en kort fråga- och svarperiod, som försäkrade användare att ”Garmin har ingen indikation på att detta avbrott har påverkat deras data, inklusive aktivitet, betalning eller betalning. annan personlig information «.
Garmins tjänster började återhämta sig fyra dagar efter attacken (Bildkredit: Garmin)
Den 27 juli, fyra dagar efter att avbrottet började, började Garmin Connect-tjänsterna komma tillbaka online och företaget bekräftade äntligen att det hade varit offer för en attack som krypterade dess data (även om det 'avstod från att nämna om angriparna hade krävt en lösen):
”Garmin [...] meddelade idag att det var offret för en cyberattack som krypterade några av våra system den 23 juli 2020. Som ett resultat har många av våra onlinetjänster avvecklats, inklusive webbplatsfunktioner, kundtjänst, klient, klient applikationer och företagskommunikation.
"Vi började omedelbart utvärdera arten av attacken och åtgärda den. Vi har inga indikationer på att någon kunddata har nåtts, förlorats eller stulits, inklusive Garmin Pay-betalningsinformation.
Dessutom har Garmin-produkternas funktionalitet inte påverkats, förutom möjligheten att komma åt onlinetjänster.
Garmin försäkrade användare att deras Garmin Pay-data inte komprometterades i attacken (Bildkredit: Garmin)
Den 30 juli, när tjänsterna återupptogs, talade Garmins VD och koncernchef Clifton Pemble attacken i ett tal under företagets årliga inkomstsamtal.
"[...] De flesta av er är medvetna om den senaste cyberattacken som orsakade ett nätverksavbrott som påverkade mycket av vår webbplats och konsumentapplikationer," sa Pemble. Vi bedömde omedelbart arten av attacken och påbörjade korrigerande ansträngningar. Vi har inga indikationer på att kunddata har nåtts, förlorats eller stulits.
Dessutom har Garmin-produkternas funktionalitet inte påverkats, förutom möjligheten att komma åt vissa onlinetjänster. Kritiska affärssystem har återställts och vi planerar att återställa de återstående systemen de närmaste dagarna. Vi uppskattar ditt tålamod och vänliga stödord. Vi har haft kunder och vänner i den här utmaningen «.
Är mina data säkra?
Förmodligen. Garmin har tagit varje tillfälle i akt att försäkra sina användare att deras data inte har äventyrats, och en färsk rapport från TechCrunch, som citerar två källor som påstår sig ha "förstahandskännedom om incidenten", säger att ransomwaren som användes inte verkar vara kapabel att stjäla eller extrahera data från låsta filer.
Dina dagliga data under avbrottet registrerades på din enhet, vare sig det är ditt kroppsbatteri, stressnivåer eller dagliga stegräkning, och den informationen måste nu synkroniseras med Garmins servrar.
Och Strava?
Strava påverkades inte direkt, men träningspass inspelade med Garmin-enheter laddades inte ner under avbrottet. Ett statistikdiagram från Strava visar en fullständig nedgång i Garmins verksamhet sedan den 23 juli, och det totala antalet nedladdningar har minskat med en tredjedel.
Träningspass började gradvis synkroniseras med Strava den 27 juli, men Strava varnade för att på grund av storleken på eftersläpningen kan det ta en vecka eller mer att synkronisera alla aktiviteter, så oroa dig inte om dina var långsamma med att dyka upp. . Om du inte kan vänta så länge kan du ladda upp dina aktiviteter manuellt till Strava.
Strava-nedladdningar från Garmin-enheter stängdes helt av den 23 juli (Bildkredit: TheComparison)
Vem var bakom?
Detta har inte bekräftats, men namnet GARMIN.WASTED som de låsta filerna gav antyder att ransomwaren i fråga är en variant av WastedLocker, som drivs av ett ryskt gäng känt som Hacking Corp och kan anpassas för attack. mycket specifika mål. Som Sky News rapporterar, sanktionerades medlemmar i gruppen av det amerikanska finansdepartementet förra året för att ha begått "två av de värsta hacknings- och bankbedrägeriplanerna under det senaste decenniet."
Om det stämde hade det kunnat försätta Garmin i en mycket svår situation. Sanktionerna förbjuder amerikaner från att handla med brottslingar, och eftersom Garmin är ett amerikanskt företag kan det vara just det att betala en lösensumma för att låsa upp filer. Det är dock oklart om detta skulle gälla vid utpressning av ett företag eller individ, men anonyma källor som pratat med Sky sa att Garmin inte gjorde en direkt betalning till sina angripare för att läcka deras data.
Vad är ransomware?
Ransomware är en typ av skadlig programvara (malware) som krypterar data, vilket gör den oanvändbar tills offret betalar en avgift för dekrypteringsnyckeln. Betalning krävs i Bitcoin, så den kan inte spåras och används för att finansiera kriminell verksamhet. Det finns heller ingen garanti för att betalningen gör att du kan återställa dina uppgifter.
Hemanvändare kan påverkas av ransomware, men gäng tycker att det är mycket mer lönsamt att rikta in sig på företag som har mycket känslig data och har fickor som är tillräckligt djupa för att betala en stor lösen.
Som Malwarebytes förklarar kräver WastedLocker-attacker lösensumma från 50,000 40,000 € (cirka 70,000 10 €, 8 14 AU) till mer än XNUMX miljoner euro (cirka XNUMX miljoner euro, XNUMX miljoner AU) i Bitcoin.
Det finns borttagningsverktyg, det finns så många olika varianter av ransomware att det krypterar filer på olika sätt, du kan bara dekryptera dina filer om du vet exakt vad det blev infekterat med, och en utvecklare kunde komma på en lösning. . .
Det bästa sättet att hantera ransomware är att ta regelbundna, proaktiva säkerhetskopior, så att du kan återställa dina filer utan att betala en straffavgift. Dessa säkerhetskopior måste vara helt åtskilda från resten av ditt system, annars kan de också krypteras.
Attacken kan skräddarsys för en viss organisation eller till och med för en viss person, som kan få ransomware-installationsprogrammet som en del av ett mycket äkta e-postmeddelande från en kollega, fylld med information som en tredje part sannolikt inte skulle veta.
"Ransomware-attacker är fruktansvärt vanliga," sa IT-säkerhetsexperten Graham Cluley till LaComparacion. ”Det här är en av de viktigaste typerna av cyberbrottslighet de senaste åren. De har påverkat både individer och organisationer och har ibland inbringat miljontals dollar till cyberbrottslingar.
”Det är uppenbart att inte alla har råd att betala, vilket innebär att de riskerar att förlora inte bara värdefullt arbete, utan oersättliga filer av sentimentalt värde, till exempel familjebilder. Moralen? regelbundna och säkra säkerhetskopior och se till att de fungerar.
