Depuis jeudi dernier, Garmin rencontre des problèmes avec ses services dans le monde entier. Comme l’ont confirmé des sources proches de l’attaque et des employés de l’entreprise à Bleeping Computer, derrière Rançongiciel WastedLocker.

Garmin Connect est en panne, mais la cyberattaque sur l’infrastructure du fabricant de GPS et de dispositifs portables les a également laissés sans service technique ni support pour leurs applications de navigation. En l’absence de contrôle sur le réseau, tous les employés ont été invités à éteindre tout ordinateur ayant accès à leurs systèmes.

Les attaques de ransomware sont devenues une menace pour les entreprises et dans le cas de Garmin, les attaquants auraient demandé une 10 millions de dollars de rançon pour la publication de vos données. La recommandation de l’Institut national de la cybersécurité (INCIBE) est claire: ne payez jamais la rançon, car c’est quelque chose qui encourage les cybercriminels à continuer à fonctionner de cette manière.

L’iPhone 11 Pro est déjà inférieur à 4 chiffres


WastedLocker, un ransomware personnalisé contre chaque entreprise

Le ransomware est un type de malware qui bloque et nous empêche d’utiliser l’ordinateur. Semblable à ce que nous avons vu en 2019 avec Ryuk et Bitpaymer, l’attaque contre Garmin proviendrait de WastedLocker comme prévu par IThome et a été confirmée par diverses sources. L’un d’eux nous laisse une capture d’écran où le Extension .garminwasted depuis un ordinateur Garmin.

Une cyberattaque par ransomware oblige les employés de l’entreprise à éteignez vos appareils si vous ne voulez pas être affecté. Cela oblige l’entreprise à interrompre le service de tous ses systèmes connectés, pour empêcher la propagation du malware.

Papier millimétré, crayon et mer: ce que les croquis originaux de Space Invaders racontent du jeu

« Garmin n’a aucune indication que cette interruption a affecté vos données, y compris l’activité, le paiement ou d’autres informations personnelles », explique Garmin dans la FAQ créée pour répondre aux questions sur l’attaque.

WastedLocker est un malware personnalisé pour chaque cible et comme décrit par Bleeping Computer, le malware correspond à l’échantillon que l’un des employés a téléchargé sur VirusTotal. Pour introduire des logiciels malveillants, les attaquants insèrent généralement un code malveillant sur de faux écrans de mises à jour logicielles, comme le navigateur Chrome.


Source: BleepingComputer

Qui est derrière et comment ça marche

WastedLocker est un ransomware associé à Evil Corp, le même groupe russe de cybercriminels associé à Dridex et BitPaymer. Les attaquants sont soupçonnés d’avoir tenté pour la première fois de s’introduire dans les systèmes pour mener une évaluation de la défense, puis de concevoir une attaque plus spécifique capable de contourner les logiciels de sécurité.

Que sont les cookies, à quoi servent-ils et comment pouvons-nous les gérer sur nos appareils

Étant spécifique à chaque cas, le ransomware ne peut pas être décrit avec le maximum de détails, mais il existe certaines caractéristiques communes parmi les différents cas qui ont été détectés. WastedLocker supprime généralement les copies cachées effectuées par Windows et nous avons un exécutable qui effectue des copies dans le dossier système et obtient des autorisations via les ‘Alternate Data Streams’ (ADS).

Voici comment les chercheurs du groupe NCC décrivent le fonctionnement de WastedLocker:

«Tout d’abord, Wastedlocker déchiffre les chaînes qui sont stockées dans la section .bss, puis calcule une valeur DWORD qui est ensuite utilisée pour localiser les chaînes déchiffrées liées au processus de chiffrement. Ceci est décrit plus en détail dans la section Chiffrement des chaînes. En outre, le ransomware crée un fichier journal lck.log, puis définit un gestionnaire d’exceptions qui crée un fichier de vidage sur incident dans le dossier temporaire de Windows avec le nom de fichier comme nom de fichier binaire du ransomware. «

« Si le ransomware ne s’exécute pas avec les droits d’administrateur ou si l’hôte infecté exécute Windows Vista ou une version ultérieure, il essaiera d’élever ses privilèges. En résumé, WastedLocker utilise une méthode de contournement UAC bien documentée. Choisissez un fichier aléatoire (EXE / DLL) dans Windows system32 et copiez-le dans l’emplacement% APPDATA% sous un nom de fichier caché différent, puis créez un flux de données alternatif (ADS) dans le fichier bin et copiez-y le ransomware WastedLocker, puis copiez winsat. exe et winmm.dll dans un dossier nouvellement créé situé dans le dossier Windows temporaire. Une fois chargé, la DLL piratée (winmm.dll) est corrigée pour exécuter les ADS mentionnés ci-dessus. «

Le nom de ce ransomware provient de la chaîne de caractères qu’il ajoute dans les fichiers créés, se terminant par «gaspillé». WastedLocker il a été détecté pour la première fois en mai 2020 et il est considéré comme ayant remplacé BitPaymer parmi les ransomwares les plus utilisés par le groupe Evil Corp.

L’une des caractéristiques d’Evil Corp est qu’elle n’a pas montré d’intérêt à divulguer les informations volées aux victimes, bien qu’elle ait tendance à demander une rançon substantielle.

À Xataka | C’est ainsi que le ransomware #WannaCry conquiert le monde: FedEx, Russie, Ukraine, Taiwan, Espagne et plus

Source: Engadget