Garmin pagó millones de dólares por obtener la clave de descifrado del ransomware WastedLocker

El ataque cibernético a Garmin sigue coleando y varios medios estadounidenses como BleepingComputer, aseguran tener pruebas para segurar que Garmin ha pagado millones de dólares por el «rescate» exigido y así poder recuperar sus servicios.

Garmin ha sido la última multinacional asolada por un ataque de Ransomware en otro fuerte aviso a la industria. Los ciberdelincuentes han encontrado un filón en este tipo de malware, la principal ciberamenaza de los últimos años. Si en sus inicios los atacantes se conformaban con unas decenas de dólares infectando ordenadores de consumo, ahora las empresas, administraciones públicas e infraestructuras críticas han pasado a ser su principal objetivo en ataques cada vez más exitosos.

Hace un par de semanas le tocó a Garmin. Los usuarios comenzaron a informar en redes sociales de fallos en el acceso a Garmin Connect y otros servicios de la compañía. Desde el primer momento el caso apuntaba a un ataque informático, pero la compañía no lo confirmó hasta unos días después.

La causa de la crisis radicó en un ataque dirigido con el ransomware WastedLocker como protagonista. Todo indica (aunque no está probado) que el grupo de ciberdelincuentes Evil Corp, conocido por ser el responsable del malware Dridex y por usar esta técnica como parte de sus ataques, está detrás del caso y habrían pedido 10 millones de dólares de «rescate» por liberar el cifrado con el que «tumbaron» ordenadores y redes de Garmin.

Garmin recupera servicios después de pagar por el rescate

BleepingComputer dice haber tenido acceso a un ejecutable creado por el departamento de TI de Garmin para descifrar una estación de trabajo e instalar el software de seguridad de la máquina.

WastedLocker es un ransomware dirigido a empresas sin debilidades conocidas en su algoritmo de cifrado. Sin defectos conocidos en el código la conclusión es obvia: para obtener una clave de descifrado que funcione, Garmin debe haber pagado el rescate a los atacantes. No se sabe cuánto, pero como se citó anteriormente, un empleado había revelado a este medio que la demanda de rescate original era de 10 millones de dólares.

Una vez conseguida la clave, los especialistas de TI de Garmin habrían creado un paquete de restauración que incluye varios instaladores de software de seguridad, una clave de descifrado, un descifrador específico para WastedLocker y un script para ejecutarlos.

Cuando se ejecuta, el paquete de restauración descifra la computadora y luego prepara la máquina con el software de seguridad. El paquete de software de Garmin tiene por fecha el 25 de julio. Solo un par de días después de conocerse la caída de servicios lo que indica que la compañía pagó el rescate exigido desde el primer momento.

Utilizando una muestra del malware WastedLocker usado en el ataque de Garmin, BleepingComputer cifró una máquina virtual y probó que el descifrador funcionó a la perfección.

El conjunto de software incluye referencias tanto a la empresa de ciberseguridad Emsisoft (especialista en crear paquetes de descifrado) como a la empresa Coveware, encargada supuestamente de la negociación para conseguir bajo pago la clave de cifrado.

Ni Garmin ni el resto de empresas aludidas han confirmado toda esta información. El pago, de haberse producido, es muy mala noticia para la industria, aunque es entendible la extremadamente difícil situación de Garmin para con sus millones de clientes y también con los inversores, ya que el ataque se produjo una semana antes de la presentación de resultados financieros trimestrales.

El problema es que ante el éxito de este caso, los atacantes buscarán nuevos objetivos.  «El hack de Garmin es una advertencia», explican desde Wired en un artículo muy completo que te recomendamos, donde realizan un análisis de situación del caso y de la problemática para la industria antes estos asoladores Ransomware.

La entrada Garmin pagó millones de dólares por obtener la clave de descifrado del ransomware WastedLocker es original de MuySeguridad. Seguridad informática.