Den 23 juli upphörde Garmins tjänster. Klockor, cykeldatorer och andra enheter hade slutat ladda ner data och Garmin Connect-appen började visa ett meddelande som förklarade att det plötsliga felet berodde på "underhåll". FlyGarmins pilotprogramvara och navigationsdatabasen (används för Garmins navigationssystem) misslyckades också, vilket tros ha lett till grundstötning av vissa flygplan. En tweet från varumärket bekräftade att det "upplevde ett avbrott som påverkade Garmin Connect och som ett resultat var Garmin Connects webbplats och mobilapp nere för närvarande", men eftersom avbrottet fortsatte. Det fortsatte, spekulationer började cirkulera om att det inte bara var ett fel, utan resultatet av en ransomware-attack som hade krypterat kritisk data på Garmin-system.
Vi tackar alla våra kunder för deras tålamod och förståelse. För mer information, besök https://t.co/U3vwBre4U2. 27 juli 2020
vad hände
Källor som påstår sig ha förstahandskännedom om situationen sa till BleepingComputer att företagets data hade krypterats och att angriparna krävde en lösensumma för att släppa den. Källorna delade skärmdumpar (sägs vara från Garmin-system) som visar låsta filer med namnet "GARMIN.WASTED". ZDNet citerade en rapport från den taiwanesiska tekniksajten iThome, som hävdar att ett memo skickades till Garmins taiwanesiska produktionsanläggning som säger att "servrar och databaser" attackerades och produktionslinjer attackerades. stängd i två dagar under hans tillfrisknande. Möjligheten för en sådan attack var mycket oroande. Garmin har mycket personlig information om sina kunder – namn, födelsedagar, kontaktinformation, GPS-data och hälsoinformation – och ransomware-tillverkare krypterar inte alltid bara sina måls data. Om lösensumman inte betalas kan de sälja den eller avslöja den online.
![Edición táctica solar Garmin Instinct]()
Användare upptäcker att deras enheter inte kan bearbeta aktivitetsinformation trots att en molnanslutning har avbrutits (Bildkredit: Garmin) TechRadar pratade med varumärket 48 timmar efter avbrottet och fick ett uttalande som bekräftade att de flesta av dess kundtjänster fortfarande var offline: "Garmin upplever ett avbrott som påverkar Garmins tjänster, inklusive Garmin Connect och Garmin Pilot. På grund av avbrottet är vissa funktioner och tjänster på dessa plattformar inte tillgängliga för kunder. Dessutom påverkas våra callcenter för produktsupport av avbrottet och därför kan vi för närvarande inte ta emot samtal, e-postmeddelanden eller onlinechattar. "Vi jobbar på att återställa våra system så snabbt som möjligt och vi ber om ursäkt för eventuella besvär. Ytterligare uppdateringar kommer att tillhandahållas när de blir tillgängliga. "Varumärket styrde sedan TechRadar in i en kort fråge-och-svar-period, och försäkrade användarna att "Garmin har inga indikationer på att detta avbrott har påverkat din data, inklusive aktivitet, betalning eller annan information. personal ".
![Garmin]()
Garmins tjänster började återhämta sig fyra dagar efter attacken (Bildkredit: Garmin) Den 27 juli, fyra dagar efter att avbrottet började, började Garmin Connect-tjänsterna komma tillbaka online och företaget bekräftade slutligen att det hade blivit offer för en attack som krypterade sina data (även om det avstod från att nämna om angriparna hade krävt en lösen): "Garmin meddelade idag att det var offer för en cyberattack som krypterade några av våra system den 23 juli 2020. Som ett resultat av detta, våra onlinetjänster har upphört, inklusive webbplatsfunktioner, kundsupport, klientapplikationer och företagskommunikation." Vi började omedelbart utvärdera attackens karaktär och åtgärda den. Vi har inga indikationer på att någon kunddata, inklusive Garmin Pay-betalning information, har nåtts, förlorats eller stulits. Dessutom har funktionaliteten hos Garmin-produkter inte påverkats, förutom möjligheten att få tillgång till onlinetjänster.
![Garmin]()
Garmin försäkrade användarna att deras Garmin Pay-data inte äventyrades i attacken (Bildkredit: Garmin) Den 30 juli, när tjänsterna återupptogs, tog Garmins vd och vd Clifton Pemble upp attacken i ett tal under företagets årliga resultatsamtal. "De flesta av er är medvetna om den senaste cyberattacken som orsakade ett nätverksavbrott som påverkade mycket av vår webbplats och konsumentapplikationer," sa Pemble. "Vi utvärderade omedelbart arten av "attacken och började åtgärda försök. Vi har inga indikationer på att kunden data har nåtts, förlorats eller stulits. Dessutom har funktionaliteten hos Garmins produkter inte påverkats, förutom möjligheten att komma åt vissa onlinetjänster Kritiska affärssystem har återställts och vi planerar att återställa de återstående systemen inom de närmaste dagarna. Vi uppskattar ditt tålamod och dina vänliga stödord. Vi har haft kunder och vänner genom denna utmaning."
Är mina data säkra?
Förmodligen. Garmin har tagit varje tillfälle i akt att försäkra sina användare om att deras data inte har äventyrats, och en färsk TechCrunch-rapport, som citerar två källor som hävdar att de har "förstahandskännedom om incidenten", säger att ransomwaren som används inte verkar vara kapabel att stjäla eller extrahera data från låsta filer. Din dagliga data under avbrottet registrerades på din enhet, oavsett om det är ditt kroppsbatteri, stressnivåer eller dagliga stegräkning, och den data bör nu synkroniseras till Garmins servrar.
Och Strava?
Strava påverkades inte direkt, men träningspass inspelade med Garmin-enheter laddades inte ner under avbrottet. Ett statistikdiagram från Strava visar en fullständig nedgång i verksamheten för Garmin sedan den 23 juli, med de totala nedladdningarna ned med en tredjedel. Träningspass började gradvis synkroniseras med Strava den 27 juli, men Strava varnade för att på grund av storleken på eftersläpningen kan det ta en vecka eller mer för alla aktiviteter att synkronisera, så oroa dig inte om dina var långsamma med att dyka upp. . Om du inte kan vänta så länge kan du ladda upp dina aktiviteter manuellt till Strava.
![Garmin Connect]()
Strava-nedladdningar från Garmin-enheter stängdes helt av den 23 juli (Bildkredit: TheComparison)
Vem var bakom?
Detta har inte bekräftats, men namnet GARMIN.WASTED som de låsta filerna gav antyder att ransomwaren i fråga är en variant av WastedLocker, som drivs av ett ryskt gäng känt som Hacking Corp och kan anpassas för attack. mycket specifika mål. Som Sky News rapporterar, sanktionerades medlemmar i gruppen av det amerikanska finansdepartementet förra året för att ha begått "två av de värsta hacknings- och bankbedrägeriuppläggen under det senaste decenniet." Om det var korrekt, kunde det ha försatt Garmin i en mycket svår situation. Sanktionerna förbjuder amerikaner från att göra transaktioner med brottslingar, och eftersom Garmin är ett amerikanskt företag kan det vara just det att betala en lösensumma för att låsa upp filer. Det är dock oklart om detta skulle gälla vid utpressning av ett företag eller en individ, men anonyma källor som pratade med Sky sa att Garmin inte gjorde en direkt betalning till sina angripare för att läcka deras data.
Vad är ransomware?
Ransomware är en typ av skadlig programvara (malware) som krypterar data, vilket gör den oanvändbar tills offret betalar en avgift för dekrypteringsnyckeln. Betalning krävs i Bitcoin, så den kan inte spåras och används för att finansiera kriminella aktiviteter. Det finns heller ingen garanti för att betalning gör att du kan återställa dina uppgifter. Hemanvändare kan påverkas av ransomware, men gäng tycker att det är mycket mer lukrativt att rikta in sig på företag som har mycket känslig data och fickor som är tillräckligt djupa för att betala en stor lösensumma. Som Malwarebytes förklarar kräver WastedLocker-attacker lösensummor som sträcker sig från 50,000 40,000 € (cirka 70,000 10 USD, 8 14 USD) till mer än XNUMX miljoner € (cirka XNUMX miljoner €, XNUMX miljoner AU$) i Bitcoin. Det finns borttagningsverktyg där ute, det finns så många olika varianter av ransomware att det krypterar filer på olika sätt, du kan bara dekryptera dina filer om du vet exakt vad du var infekterad med, och en utvecklare kunde skapa en lösning. . . Det bästa sättet att hantera ransomware är att göra regelbundna, proaktiva säkerhetskopior, så att du kan återställa dina filer utan att betala en straffavgift. Dessa säkerhetskopior måste vara helt åtskilda från resten av ditt system, annars kan de lika gärna vara krypterade. Attackerna kan skräddarsys för en viss organisation eller till och med en specifik person, som kan få ransomware-dropparen som en del av ett mycket äkta e-postmeddelande från en kollega, fylld med information som en tredje part sannolikt inte skulle få veta. "Ransomware-attacker är fruktansvärt vanliga," sa IT-säkerhetsexperten Graham Cluley till TechRadar. ”Det här är en av de viktigaste typerna av cyberbrottslighet de senaste åren. De har påverkat både individer och organisationer, ibland inbringat miljontals dollar till cyberbrottslingar. "Självklart har inte alla råd att betala, vilket innebär att de riskerar att förlora inte bara värdefullt arbete, utan sentimentala, oersättliga filer som familjefoton. Summan av kardemumman? Säkra, regelbundna säkerhetskopior och se till att de fungerar." ".