Hackeři během léta devastovali ransomware útoky přední světové firmy, Garmin zaplatil rekordní výkupné

Prázdniny a letní pohoda jsou pryč, hlavní zprávy opět upínají svou pozornost na případy COVID-19, ale i v kyber-světě přibývá zasažených „celebrit“ a pověstná okurková sezóna se létě rozhodně nekonala. Naopak, bylo to nejrušnější kyber-léto v historii.

Hackeři prostě nečekají, až se zima zeptá. Jen během prázdnin úspěšně napadli trojici společností Xerox 1, Canon 2 a Konica-Minolta 3 a asi se blíží doba, kdy budeme firemní kopírku opatrně obcházet stejně jako chytrou televizi doma. Mimochodem na letním seznamu napadených je i dobře známá světová značka LG 4.

Ale existují i další chytrá zařízení, která jsou nám mnohem blíže než kopírka nebo televize. Naše auta, lodě, batohy a zápěstí jsou plná navigací, fitness náramků a chytrých hodinek. Hitem letní hackerské sezóny byla jednoznačně devastace technologického leadera Garmin 5, na kterou se bude v IT branži i ve světě médií dlouho vzpomínat.

Proč?

• Rozsáhlého několikadenního výpadku Garmin služeb si všimli uživatelé i média 6 a nebylo jich zrovna málo, načasování útoku do hlavní sezóny bylo dokonalé
• Výpadek se netýkal jen kritických zákaznických služeb (letecké a námořní navigace), ale i výroby a provozních technologií (OT), na Taiwanu výrobní linky stály 2 dny, a to už je znát 7
• Garmin omezil oficiální komunikaci na minimum 8, dodnes neznáme detaily útoku 9, příklad z Norsk Hydro a jejich otevřené komunikace s odbornou veřejností si nevzali, úplný příběh se tedy dozvíme až v příštích měsících
• Opět to byl útok na závěr s ransomwarem, nyní se zbrusu novým kouskem WastedLocker 10 a s luxusní 11 a trendy 12 výbavou (PowerSpoit,, Empire, CobaltStrike, Mimikatz, UAC bypass. PsE, WMI a living-off-the-land tools 13)
• Garmin útočníkům zaplatil přes vyjednávače rekordní výpalné (5-10 milionů USD) za dešifrovací klíč a překvapivě zvolil jako hi-tech firma „obnovu s přispěním útočníka“ 14
• Útočníci nejsou žádní začátečníci, útok provedl notoricky známý gang Evil Corp 15, který si od roku 2009 nakradl přes bankovní trojany Zeus a Dridex stovky milionů USD, a na jaře spouštěl „COVID“ phishing kampaně 16
• Na úvod útočníci na uživatele použili trik s falešnou aktualizaci běžného SW a do ZIP souboru schovali škodlivý JavaScript 17
• Pečlivě si vybírají trofejní firmy (Big Game Hunting) a přes anonymní e-mailové adresy typu Protonmail, Tutanota nebo Eclipso si vyjednávají nejvyšší výkupné v branži 18
• Nejdříve provedou pečlivou destrukci (online) zálohovacích mechanismů a samotných záloh, až potom spustí ransomware a dostanou tak oběť pod extrémní tlak, rozhodně se nejedná o bleskové útoky
• Překonávají poměrně vysokou úroveň kybernetické bezpečnosti
• Pro každou oběť připravují speciální verzi WastedLocker, tradiční antivirus je nahraný, fungovat by měli whitelisting, Windows hardening, heuristika antiviru a pokročilé nástroje typu EDR.

A všem uživatelům Garmin hodně zatrnulo při představě, co všechno by se o nich z chytrých hraček ruský hacker dozvěděl (osobní data, záliby, koníčky, přesné pozice a trasy, zdravotní informace, platební údaje) a co všechno by v jejich telefonu napáchal třeba falešný SW update, kdyby Evil Corp znovu oprášil špionáž a bankovní fraudy ve stylu Zeus a Dridex.

Ačkoliv se tito hackeři primárně zatím zaměřují jen na top US cíle 19 a ani zatím nepoužili techniku double-trouble (double extortion), tj. nezveřejňují souběžně ukázky nakradených dat pro důraznější vydírání 20, rozhodně je dobré se i v této nejisté době věnovat aktuálním kybernetickým rizikům také v české kotlině…

… prostě nečekat, až se v zimě někdo zeptá, kolik jste toho (vy)dělali v létě!