Как вы помните, пару недель назад сайт и сервисы компании Garmin перестали работать во многих регионах мира. Компания Garmin производит умные часы, фитнес-браслеты и технику для GPS-навигации. Продукция компании используется в различных сферах перевозок и логистики, в том числе в авиаперевозках; также она популярна у профессиональных спортсменов. Garmin была атакована вирусом-шифровальщиком WastedLocker: он зашифровал внутреннюю сеть и некоторые производственные системы.
И вот ситуация разрешилась...
Производитель «умных» часов и навигационного оборудования Garmin заплатил многомиллионный выкуп за возобновление работы своих сервисов. Платёж провели через стороннюю фирму Arete IR, которая занимается решением подобных ситуаций.
В Garmin подтвердили, что 23 июля стали жертвой атаки вируса, но не раскрыли деталей. По данным издания, Garmin получила ключ для расшифровки своих файлов после оплаты выкупа. Однако компания не стала проводить платёж напрямую из-за опасения санкций со стороны властей США.
Шифровальщик WastedLocker
О вирусе WastedLocker впервые стало широко известно в начале июля 2020 года. Это классический вирус-шифровальщик, который шифрует файлы на компьютере, а за их расшифровку требует от 500 тысяч до 100 миллионов долларов. Как сообщала компания по кибербезопасности MalwareBytes, отдельные компиляции вируса специально пишутся под конкретные организации.
Это пример так называемого целевого шифровальщика, то есть зловреда, модифицированного для атаки на конкретную компанию. В записке о выкупе атакующие обращаются к конкретной жертве, да и все зашифрованные файлы получают дополнительное расширение .garminwasted.
О том же говорит и использованная злоумышленниками криптографическая схема. Файлы шифровались при помощи комбинации алгоритмов AES и RSA, которые применяются создателями вымогательского ПО в паре достаточно часто. Однако публичный ключ RSA для шифрования в WastedLocker применяется один, а не генерируется уникальный для каждого заражения. То есть если бы та же модификация шифровальщика использовалась против множества целей, то программа для расшифровки данных была бы универсальной, поскольку приватный ключ также должен быть один.
Кроме того, в этом шифровальщике-вымогателе реализованы следующие любопытные особенности:
- Троян допускает приоритизацию шифрования данных — злоумышленники могут указать конкретную директорию, файлы в которой будут зашифрованы в первую очередь. Это сделано, чтобы максимизировать ущерб в том случае, если защитные механизмы остановят шифрование данных до его завершения.
- WastedLocker поддерживает шифрование файлов на удаленных сетевых ресурсах.
- Шифровальщик проверяет привилегии, с которыми он запущен, и если находит их недостаточными, то может повысить их, используя метод подмены DLL.
источники
https://news.sky.com/story/gar...
https://www.kaspersky.ru/blog/...
https://meduza.io/feature/2020...