Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I sidste uge opdagede it-folkene hos Garmin, den globale markedsleder inden for wearables, at selskabet var blevet ramt af et hackerangreb med katastrofale konsekvenser. Garmins fitness-tjenester og en lang række andre funktioner blev straks lukket ned for at begrænse angrebets konsekvenser – som beskrevet her på AOD.dk.
Alt tyder på, at der er tale om et ransomwareangreb udført af den russiske gruppe Evil Corp, og at Garmin er blevet afkrævet en løsesum på 10 millioner US-dollar (63,5 millioner kroner) for igen at få adgang til de filer, som ransomwaren, WastedLocker, har krypteret.
Men hvordan kunne det overhovedet ske, at en virksomhed af Garmins størrelse kan blive ramt af et så omfattende angreb?
Det har sikkerhedsfirmaet Symantec et måske noget overraskende bud på. Årsagen er formentlig et inficeret nyhedssite.
Falsk opdatering
Det hele startede med, at Evil Corp lagde et link ind på et amerikansk nyhedsmedies hjemmeside (Symantec oplyser ifølge The Guardian ikke hvilket). Hvis man som læser klikker på dette link, får man en opfordring til at opdatere sin software – for eksempel sin Chrome-browser. Men der er tale om en falsk opdatering. For følger man som medarbejder opfordringen, bliver der placeret en skjult kode på ens computer.
Denne kode kan deaktivere sikkerhedssoftware og udnytte eksisterende værktøjer til at arbejde sig ind i medarbejderens organisations it-netværk, i skytjenester og andre kritiske funktioner. I sidste ende kan den rulle en ransomware ud, WastedLocker, som krypterer de filer, den kommer i nærheden af.
Ifølge Symantec har konsekvenserne af det inficerede nyhedssite været, at 31 amerikanske organisationer er blevet angrebet, heraf otte virksomheder, der er blandt verdens 500 største ("Fortune 500").
Tidlig advarsel
Allerede en måned før angrebet på Garmin advarede Symantec om, at angriberne bag truslen er så dygtige og erfarne, at de er i stand til at bryde ind i selv de bedst beskyttede virksomheder, og at de uden problemer kan bevæge sig rundt i virksomheders netværk. WastedLocker er en særdeles farlig ransomware, lød det dengang, for et vellykket angreb kan ødelægge ofrets netværk og i sidste ende føre til et særdeles kostbart oprydningsarbejde.
Det er her, Garmin befinder sig nu. Oprydningen er i fuld gang. Intet tyder indtil videre på, at Garmin har betalt løsesummen for at få sine filer lukket op igen.
På Garmins systemstatusside står der i skrivende stund (tirsdag 28.7. kl. 11.13):
"We are happy to report that Garmin Connect recovery is underway. We’d like to thank you for your understanding and patience as we restore normal operations."
Flere af tjenesterne er rigtig nok oppe igen, herunder Garmin Golf, Garmin Drive og LiveTrack, mens der er begrænset adgang til for eksempel den centrale tjeneste Garmin Connect.
Systemerne ser ud til at blive gendannet ved hjælp af Garmins egne sikkerhedskopier. Desuden oplyses det i en meddelelse, at angrebet ikke får nogen økonomiske konsekvenser for selskabet. Garmin skriver (i oversættelse):
”Berørte systemer er ved at blive gendannet, og vi forventer at vende tilbage til normal drift i løbet af de næste par dage. Vi forventer ikke nogen væsentlige konsekvenser af dette nedbrud for vores operationer eller økonomiske resultater. Efterhånden som vores berørte systemer gendannes, forventer vi nogle forsinkelser, mens backloggen af vores informationer gennemføres.”
Hacker-jagten gået ind
Længe før WastedLocker var Evil Corp kendt som en af de farligste hackergrupper. Allerede i december sidste år gik det amerikanske justitsministerium efter gruppen oven på et tidligere angreb, "Dridex", hvor malware blev brugt til at opsnuse adgangskoder til bankkonti. Det førte til et tab for bankkunder på over 100 millioner dollar.
To af Evil Corp-gruppens medlemmer fik en kriminel anklage over hovedet, og der blev udlovet en dusør på 5 millioner US-dollar for oplysninger, som kunne føre til pågribelse af gruppens leder Maksim Viktorovitsj Jakubets.
De konkrete, kriminelle anklager mod gruppen har gjort det ekstra usandsynligt, at Garmin ville falde for fristelsen til at betale sig ud af problemet. I tidligere ransomware-sager har det også vist sig, at selv om man som selskab indbetaler en løsesum, er det ikke en garanti for, at låste filer rent faktisk bliver låst op igen. Så sikkerhedseksperter anbefaler normalt, at man aldrig betaler kriminelle bag ransomware.