Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Wearable-producenten Garmin er nede. Siden i torsdags har Garmin Connect været lukket, så det blandt andet ikke er muligt at opdatere resultatet af løbeture, cykelture eller andre former for aktiviteter, som millioner af mennesker verden over bruger tjenesten til at registrere. Til at begynde med oplyste Garmin, at årsagen var vedligeholdelse af tjenesten, men nu tyder alt på, at Garmin er ramt af et alvorligt hackerangreb, ifølge flere medier måske ransomware.
Producenten af wearables til træning og andre formål har også måttet lukke sin officielle hjemmeside, sin golftjeneste, sin flyverdatabase og andre funktioner ned. Flere produktionslinjer i Asien skulle endda være stoppet. Samtidig er det ikke muligt at komme i forbindelse med Garmins kundecenter – hverken telefonisk, på mail eller med chatfunktionen.
Hvis man i skrivende stund går på ind på Garmins danske hjemmeside, får man følgende besked:
"We are currently experiencing an outage that affects Garmin.com and Garmin Connect. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience. Click here for more details."
Ingen data er tabt – måske
Hvis man følger opfordringen og klikker, kommer man ind på side med "Frequently Asked Questions", hvor fire spørgsmål om nedbruddet besvares. Her forsikres kunderne blandt andet om, at ingen data i Garmin Connect-tjenesten skal være gået tabt. Samtidig anføres det dog, at Garmin ikke har nogen "indikation" af at data skulle være ramt. Garmin tør med andre ord ikke garantere, at brugere ikke har mistet data, når systemet kommer op at køre igen.
Garmin har også åbnet en side, hvor man kan følge, hvilke websider, tjenester og funktioner der aktuelt fungerer. Her er alle knapper i skrivende stund (søndag 26. juli kl. 9.08) røde med påskriften "DOWN".
Men hvor alvorligt er angrebet? Garmin selv har ikke bekræftet, at der kan være tale om et ransomware-angreb. Men ifølge flere nyhedsmedier, som har talt med eksperter, er der meget i nedbruddets karakter, som peger i den retning.
Ransomware er en alvorlig sag
Et ransomware-angreb er potentielt særdeles alvorligt. Utallige store virksomheder har gennem de sidste år været gennem mareridtsagtige tilstande, hvor stort alle funktioner, salg og kundekontakt i en periode har været lukket helt eller delvis ned.
Ransomware er software, der krypterer virksomheders eller organisationers adgang til egne filer og data, hvorefter de kriminelle bagmænd bag angrebet kræver udbetaling af løsepenge for at frigive en dekrypteringsnøgle, som på ny giver adgang til de kritiske data. Angrebet skyldes ofte medarbejderes uforsigtige omgang med links i mails.
Der er voldsomme eksempler på denne form for afpresning, også i Danmark. Blandt mange andre har ikoniske virksomheder som Mærsk og Oticon og den internationale byggekoncern Saint-Gobain tabt både omdømme og milliarder af kroner på, at ransomware-angreb lagde virksomhedernes it-systemer mere eller mindre ned i måneder.
Medarbejdere bekræfter
At der skal være tale om et ransomware-angreb bekræftes af, at flere Garmin-medarbejdere på sociale medier har peget på netop denne årsag til det omfattende nedbrud.
Nyhedssitet BleepingComputer rapporterer, at de har fået oplyst hos medarbejdere i Garmin, at der er tale om et ransomware-angreb, og at filer er blevet låst under navnet ”GarminWasted”. Angriberne vil ifølge denne kilde have penge for at lukke hver enkelt fil op igen. Ransomwaren skulle ifølge dette site være WastedLocker.
Generelt anbefales det ikke at betale løsepenge til kriminelle bag ramsomware-angreb, så hvis der virkelig er tale om et ransomware-angreb i dette tilfælde, så er det afgørende nu, hvor god en backup Garmin har af sine systemer. I tilfælde af ransomware kan der trods gode backup-rutiner gå adskillige dage – man har i tidligere tilfælde set uger og måneder – før et selskab igen er oppe at køre normalt.
Opdatering (mandag 27.7. kl. 9.55):
Det er mandag morgen bekræftet, at Garmin blev ramt af et WastedLocker ransomware-angreb.
Garmins tjenester er langsomt ved at åbne igen, mange dog endnu med begrænset adgang.
At stort set samtlige tjenester hos Garmin lukkede ned på en gang i sidste uge, skyldes ifølge nyhedssitet BleepingComputer, at Garmins it-afdeling forsøgte at forhindre en spredning af angrebet.
Forbryderne bag angrebet har forlangt en løsesum på 10 millioner dollar for at genåbne de krypterede Garmin-filer, erfarer BleepingComputer, der dog ikke har kunnet få det bekræftet. Det vides heller ikke, om Garmin har betalt løsesum, eller om den delvise genåbning skyldes sikkerhedskopier hos Garmin.
Ifølge samme nyhedstjeneste er det en russisk organisation, som står bag angrebet: Evil Corp (også kaldet Dridex-banden). Gruppen angreb i sidste måned snesevis af amerikanske virksomheder, og ansatte i over 30 selskaber blev ramt af problemer med deres enheder.