Garmin avrebbe pagato il riscatto per liberarsi dal ransomware

Sembrava esserne uscita da sola, con le sue stesse forze. Invece, un’indagine rivela: l’azienda che produce dispositivi indossabili avrebbe pagato il riscatto ai cybercriminali per superare l’attacco che ne ha paralizzato i sistemi informatici

Durante l’ultimo weekend di luglio i sistemi informatici di Garmin, azienda che produce dispositivi indossabili, sono stati presi in ostaggio da un ransomware. Se da una prima indagine era risultato che la società fosse riuscita a liberarsi dal virus con un semplice backup, ora i ricercatori informatici di BleepingComputer hanno scoperto che la stessa ha ricevuto la chiave di decrittazione per recuperare i file crittografati dal ransomware chiamato WastedLocker.

L’attacco

Ricapitoliamo: dal 23 al 27 luglio Garmin ha avuto a che fare con un’infezione da ransomware, precedentemente raccontata da Wired. I cybercriminali che l’hanno bersagliata sono riusciti a prenderne in ostaggio i sistemi informatici compromettendo il funzionamento di milioni di dispositivi indossabili per gli sportivi, dei call center della società e della posta elettronica aziendale.

Per la “modica” cifra di 10 milioni di dollari, però, avrebbero inviato a Garmin la chiave di decrittazione necessaria per tornare in possesso dei propri sistemi informatici.

L’analisi di BleepingComputer

Gli esperti informatici di Bleeping hanno analizzato i codici relativi all’attacco confermando che il ransomware utilizzato per colpire Garmin era un nuovo ceppo di ransomware.

Gli esperti di Bleeping sono poi entrati in possesso di un eseguibile creato dal dipartimento IT di Garmin per decrittografare una macchina infettata con il ransomware. Analizzando lo strumento sono giunti alla conclusione che Garmin avrebbe effettivamente pagato il riscatto ai cybercriminali per ottenere la chiave di decrittazione utilizzata per creare l’eseguibile in questione.

“Per ottenere una chiave di decodifica funzionante, Garmin deve aver pagato il riscatto agli aggressori. Non si sa quanto abbia versato, ma come precedentemente affermato, un dipendente aveva detto a BleepingComputer che la richiesta di riscatto originale era di 10 milioni di dollari”, spiega BleepingComputer in una nota sul suo sito.

Lo strumento utilizzato per liberare le macchine dal ransomware decodificherebbe il computer e successivamente installerebbe un software di sicurezza utile per prevenire un nuovo attacco tramite WastedLocker.

L’analisi del decriptatore utilizzato da Garmin ha evidenziato la presenza di riferimenti alla società di sicurezza informatica Emsisoft e a quella di servizi di negoziazione di ransomware Coveware. Una volta  contattate entrambe, non hanno rilasciato commenti sull’attacco.