Wer steckt hinter dem Angriff auf Garmin?

Der Hersteller von tragbaren Geräten und GPS-Trackern Garmin litt darunter Ransomware-Angriff letzte Woche, nachdem eine Gruppe von Hackern in sein internes Netzwerk eingebrochen und die Server des Unternehmens verschlüsselt hatte.

Der Angriff verursachte a fünftägige Pause, während der Benutzer befürchteten, Daten gestohlen zu haben persönlich zusammen mit dem Geolokalisierungsgeschichte von Garmin-Servern.

Eine übliche Praxis

Die Praxis, Daten zu stehlen, bevor das Netzwerk des Opfers verschlüsselt wird, ist heute unter Ransomware-Gruppen weit verbreitet, die häufig gestohlene Daten verwenden, um die Opfer zur Zahlung der Lösegeldforderung zu zwingen.

Drei Cybersicherheitsunternehmen, die diese Woche mit ZDNet gesprochen haben, haben jedoch erklärt, dass die Gruppe von Hackern, die im Verdacht stehen, hinter dem Garmin-Angriff zu stehen, eine der wenigen Gruppen, die nicht an dieser speziellen Praxis teilnehmen und haben keine Vorgeschichte, Kundendaten zu stehlen, bevor Dateien verschlüsselt wurden

EVILCORP, die Gruppe, die den Sturz verursacht hat.

Bekannt als EvilCorpDiese Gruppe von Hackern operiert von Russland aus, und zwei der Gangmitglieder wurden im vergangenen Dezember von US-Beamten wegen des Betriebs des Dridex-Malware-Botnetzes angeklagt.

Das Kernstück der Malware der Gruppe ist jedoch das Große Dridex BotnetzDie Gruppe wurde auch mit Ransomware-Vorgängen verknüpft.

Die erste Streifzüge von EvilCorp en Die Ransomware-Szene trat in auf 2016 Als die Gruppe begann, die Locky- und Bart-Sorten, die sie massenhaft über das Internet verschickten, an Privatkunden zu verteilen.

Im Jahr 2018 änderte EvilCorp seine Form im Laufe der Zeit und startete BitPaymereinem neue Ransomware dass sie ausschließlich in verwendet Angriffe gegen hochkarätige Zielewie Unternehmen, Regierungsnetzwerke oder Gesundheitsorganisationen.

Anfang 2020 entwickelte sich EvilCorp erneut und ersetzte BitPaymer durch einen neueren und besser genannten Ransomware-Stamm. WastedLocker.

Diese neue Version von WastedLocker wurde als die identifiziert Ransomware, die das Garmin-Netzwerk verschlüsselt, Laut Garmin-Mitarbeitern, die mit ZDNet und vielen anderen Medien gesprochen haben.

Kein Datendiebstahl bei früheren Bitpaymer- und Wastedlocker-Angriffen

Gestern gab Garmin offiziell zu, in Dokumenten, die bei SEC 8-K eingereicht wurden, und in einer öffentlichen Pressemitteilung einen Ransomware-Angriff erlitten zu haben. Ein bestimmter Satz aus  Pressemitteilung Es wurde aufmerksam.

"Wir haben keinen Hinweis darauf, dass Kundendaten, einschließlich Garmin Pay ™ -Zahlungsinformationen, abgerufen, verloren oder gestohlen wurden".

Seit Garmins offizieller Ankündigung gestern hat sich ZDNet an Cybersicherheitsunternehmen gewandt, die dafür bekannt sind, Incident-Response-Services für Ransomware-Angriffe bereitzustellen.

In Interviews dieser Woche sagten Sicherheitsforscher von Coveware, Emsisoft und Fox-IT gegenüber ZDNet, dass Ich habe keine Hinweise auf Diebstahl von Benutzerdaten gesehen während der letzten BitPaymer- und WastedLocker-Angriffe.

„Bei Bitpaymer gab es in der Vergangenheit keine DatenexfiltrationBill Siegel, CEO von Coveware, einem Unternehmen, das auf Vorfälle reagiert und sogar Zahlungsverhandlungen für Ransomware abwickelt, sagte gegenüber ZDNet.

"In den WastedLocker-Fällen, an denen wir beteiligt waren, Wir haben keine Hinweise auf gestohlene Daten gesehen“, erzählte uns Fabian Wosar, technischer Leiter von Emsisoft.

„Wir haben nicht gesehen, dass sie [EvilCorp] Kundendaten gestohlen haben nutzen sie gezielt, um Opfer zur Zahlung zu zwingen“Frank Groenewegen, Chef-Sicherheitsexperte von Fox-IT, teilte ZDNet in einem Telefonanruf mit.

Allerdings Groenewegen schließt nicht aus, dass ein Datenverstoß aufgetreten ist, in gewisser Weise.

Evilcorp hat vor langer Zeit einige Benutzerdaten gestohlen

Groenewegen warnt jedoch davor, dass wenn EvilCorp Daten nicht sichtbar gestohlen hat, um sie bei früheren BitPaymer- und WastedLocker-Angriffen zu erpressen, dies nicht bedeutet, dass sie dies derzeit nicht tun oder dies in Zukunft nicht tun werden.

Das sagt der Fox-IT-Manager EvilCorp ist mehr als in der Lage, Daten zu extrahieren. unter Bezugnahme auf ältere Angriffe.

"Bevor sie sich auf die Implementierung von Ransomware konzentrierten, wird verwendet, um Zahlungsabwickler anzusprechen Daten stehlen de Debit- / Kreditkartensagte Groenewegen. Dann drehte sich die EvilCorp-Bande um und verkaufte diese Daten in Carding-Foren für Profit.

Basierend auf den Angaben der drei Sicherheitsunternehmen zu ZDNet Garmin-Benutzerdaten scheinen sicher zu sein. nach dem bisherigen Modus operandi der Gruppe.

Natürlich ist dieser Artikel in seiner Bewertung nicht endgültig und stellt nur eine spekulative Analyse des Garmin-Vorfalls dar, die auf früheren EvilCorp-Angriffen und den Erfahrungen derjenigen basiert, die an den Reaktionen auf die jeweiligen Vorfälle beteiligt sind.

Quelle: zdnet