Garmin ostaggio di un ransomware per un weekend

Un attacco informatico ha messo fuori uso sistemi e dati dell’azienda che produce dispositivi indossabili per gli sportivi

Milioni di dispositivi fitness Garmin sono rimasti disconnessi dalla rete per un giorno intero dopo che i sistemi informatici della società di Kansas City sono stati presi in ostaggio da un attacco ransomware. L’attacco informatico che ha colpito l’azienda statunitense sembra essere stato risolto e i dispositivi stanno tornando online in queste ore.

L’attacco

Il blackout dei dispositivi inizia venerdì 24 luglio, quando alcuni utenti segnalano alla società un’inattività dei loro smartwatch sportivi. I dati raccolti non comparivano nell’applicazione Garmin Connect. In un primo momento il problema è stato collegato a un malfunzionamento dei server aziendali ma poi la società si è accorta che la situazione era peggiore di un guasto tecnico.

This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience. (2/2)

— Garmin (@Garmin) July 23, 2020

I dipendenti non riuscivamo più ad accedere alle email aziendali e i call center erano fuori uso. Gli unici canali di comunicazioni erano i profili sui social network e il sito internet. Stando alle prime analisi, icybercriminali sono riusciti a bucare i sistemi di Garmin grazie a una vulnerabilità individuata in uno dei server aziendali della sede di Taiwan. Il ransomware ha inizialmente infettato la rete locale per poi estendersi in tutta l’infrastruttura di Garmin.

Il ransomware

Secondo Zdnet e TechCrunch l’interruzione dei servizi è stata causata da un nuovo ceppo del ransomware denominato WastedLocker. Il ransomware avrebbe colpito la società già da mercoledì 22 luglio ma avrebbe iniziato a criptarne i file e a bloccarne i sistemi informatici venerdì, paralizzando la società nel weekend. Come altri ransomware, WastedLocker, infetta i computer di una rete aziendale sequestrandone i file e chiedendo agli utenti un riscatto, generalmente in bitcoin, per ottenere il ripristino dei file.

I ricercatori di Malawarebytes però, dopo aver studiato a fondo il virus già a maggio, hanno scoperto che il ransomware non ha ancora il potere di rubare o esfiltrare i dati prima di crittografare i file delle vittime. Sostanzialmente i virus agisce come un semplice fermo immagine che paralizza i sistemi senza però intaccarne i file. Ciò significa che finché i cybercriminali non faranno evolvere il ransomware, le società colpite potrebbero riuscire a recuperare i propri file senza la necessità di pagare un riscatto ma semplicemente ripristinando i file di backup. Senza un backup, purtroppo, alcune società vittime di WastedLocker hanno dovuto affrontare riscatti nell’ordine dei 10 milioni di dollari. Fortunatamente Garmin aveva un backup pronto per il ripristino e, come sottolinea The Verge, i suoi servizi stanno tornando online.