El ataque de ransomware contra Garmin se cree que es el trabajo de ‘Evil Corp’

Se cree que la pandilla rusa de ciberdelincuencia es responsable de desconectar los servicios de Garmin

Se cree que un ataque de ransomware que dejó el negocio de GPS y relojes inteligentes Garmin completamente fuera de línea durante más de tres días fue llevado a cabo por una pandilla cibercriminal rusa que se hace llamar «Evil Corp».

Garmin comenzó a restablecer los servicios a los clientes el lunes por la mañana, luego de ser retenido como rehén por un rescate de $ 10 millones, aunque algunos servicios aún funcionaban con una funcionalidad limitada.

Se cree que el ataque ha sido el último de una larga serie de ataques contra compañías estadounidenses que le han valido al presunto líder de los ciberdelincuentes, Maksim Viktorovich Yakubets, de 33 años, una recompensa de 5 millones de dólares del FBI. Esa recompensa es la más alta jamás ofrecida por un cibercriminal.

A diferencia de aquellos detrás de algunos brotes de ransomware de alto perfil anteriores, como las notorias campañas WannaCry y NotPetya de 2017, Evil Corp históricamente se ha centrado mucho en cómo selecciona y ataca a sus objetivos. En lugar de perseguir a los usuarios finales y las pequeñas empresas, que pueden ser fáciles de engañar para que abran un archivo adjunto de correo electrónico malicioso pero es poco probable que paguen rescates significativos por sus datos, la organización ha desplegado una mezcla de destreza técnica e ingeniería social para atacar objetivos importantes como como bancos, organizaciones de medios y ahora compañías tecnológicas.

Garmin fue la última víctima del ransomware de Evil Corp, denominado WastedLocker por investigadores de la firma de seguridad informática NCC. El malware, visto por primera vez en la naturaleza en mayo de este año, se implementa de manera «selectiva» por el equipo, dice Stefano Antenucci de NCC. “Por lo general, llegan a servidores de archivos, servicios de bases de datos, máquinas virtuales y entornos en la nube.

«Por supuesto, estas opciones también estarán muy influenciadas por lo que podríamos llamar su» modelo de negocio «, lo que también significa que deberían poder deshabilitar o interrumpir las aplicaciones de respaldo y la infraestructura relacionada. Esto aumenta el tiempo de recuperación para la víctima, o en algunos casos debido a la falta de disponibilidad de copias de seguridad fuera de línea o fuera del sitio, impide la capacidad de recuperación en absoluto «.

Mientras que WannaCry y NotPetya utilizaron vulnerabilidades en Microsoft Windows para infectar automáticamente nuevas computadoras, WastedLocker se distribuye de una manera más específica. Si bien aún no se sabe cómo Garmin fue víctima del ransomware a principios de julio, los investigadores del equipo de inteligencia de amenazas de la empresa de seguridad cibernética Symantec identificaron una posible ruta: sitios web de periódicos secuestrados.

Un editor estadounidense había sido atacado por Evil Corp y, sin saberlo, alojaba malware en sus sitios web de periódicos, según Symantec. Ese malware se usó para infectar a los visitantes seleccionados con un segundo conjunto de software que les dio a los atacantes de Evil Corp una ruta para instalar WastedLocker y mantener a la compañía en rescate.

Si bien Symantec declinó nombrar al editor, los periódicos o las víctimas, la compañía dijo que el ataque había afectado al menos a 31 organizaciones hasta la fecha, «incluidos muchos nombres conocidos. Además de una serie de grandes compañías privadas, había 11 compañías que cotizan en bolsa, ocho de las cuales son compañías Fortune 500. Todas las organizaciones seleccionadas, excepto una, son propiedad de los EE. UU., Con la excepción de que es una subsidiaria con sede en los EE. UU. De una multinacional en el extranjero ”.

Escribiendo casi un mes antes de la interrupción de Garmin, Symantec advirtió: “Los atacantes detrás de esta amenaza parecen ser hábiles y experimentados, capaces de penetrar en algunas de las corporaciones mejor protegidas, robar credenciales y moverse con facilidad a través de sus redes. Como tal, WastedLocker es una pieza de ransomware altamente peligrosa. Un ataque exitoso podría paralizar la red de la víctima, provocando una interrupción significativa en sus operaciones y una operación de limpieza costosa.

Sin embargo, Evil Corp instaló WastedLocker en los sistemas de Garmin, el siguiente paso del ransomware fue el mismo: se cargó a través de las partes más sensibles de la red de la compañía y los archivos esenciales cifrados, antes de exigir un rescate a cambio de la clave de descifrado.

Aunque Garmin no confirmó el nivel del rescate solicitado, se cree que ronda los $ 10 millones, según una fuente citada por el sitio de la industria Bleeping Computer.

Para el lunes por la mañana, Garmin había logrado restaurar muchos servicios, según un panel de estado que publicó. Pero Garmin Connect, que permite a los usuarios cargar datos desde los rastreadores de actividad física a Garmin y a otros servicios como Strava, funciona con «funcionalidad limitada»: muchas cargas están «en cola» o «retrasadas», incluida la integración de Strava.

Incluso antes de WastedLocker, Evil Corp se había convertido en uno de los grupos de ciberdelincuencia más notorios que operan hoy. En diciembre de 2019, el gobierno de EE. UU. Tomó medidas contra la organización por su campaña «Dridex», que utilizó malware para obtener credenciales de inicio de sesión de los bancos y provocó el robo de más de $ 100 millones. La campaña llevó al Departamento de Justicia de los Estados Unidos a acusar penalmente a dos de los miembros del grupo y al Departamento de Estado ofreciendo una recompensa de $ 5 millones por información que ayude a capturar o condenar a Yakubets.

Lee esta noticia en TheGuardian.com