Garmin: una de las tantas víctimas de ransomware

Garmin, productor de relojes inteligentes, bandas de gimnasia y otros dispositivos que se pueden llevar puestos, fue víctima de un ataque ransomware el 23 de julio de 2020. Aunque Garmin inicialmente escribió en Twitter que la interrupción fue causada por un problema técnico de sus servicios, la empresa confirmó más tarde en un comunicado de prensa que había sido víctima de un ataque cibernético.

El 23 de julio, Garmin comenzó a ver interrupciones en sus centros de llamadas y comunicaciones por correo electrónico. Más tarde, como el asunto aún no se había resuelto, la empresa se vio obligada a cerrar algunos de sus servicios, como Garmin Connect, Garmin Express y Garmin.com. Debido a este impedimento, millones de usuarios se vieron privados de acceso a los servicios en la nube de la empresa.

Muchos sospechan que Garmin fue infectado con WastedLocker, una variante del ransomware que se ha vinculado a Evil Corp, un grupo de ciberdelincuentes rusos. Los atacantes que usan WastedLocker exigen, según se informa, hasta 10 millones de dólares de rescate, pero Garmin no ha confirmado las demandas a las que se enfrentó.

El modus operandi del ataque

Al igual que muchos otros ataques cibernéticos, este ataque de ransomware podría haberse logrado mediante la difusión de un correo electrónico malicioso, la implantación de archivos adjuntos maliciosos para ser utilizados más tarde para la escalada de privilegios, y luego movimientos laterales dentro de la red para instalar el ransomware en múltiples sistemas. Según los informes de SentinelOne, este programa de ransomware se llama WastedLocker y es bastante nuevo, ya que ha estado en Internet sólo unos meses. WastedLocker ha sido utilizado para atacar industrias de alto perfil.

WastedLocker emplea JavaScript para entregar la carga útil disfrazada de actualizaciones del sistema y luego se aprovecha de los procedimientos de desviación de UAC para proporcionar privilegios elevados, permitiéndole usar Cobalt Strike, un conjunto de herramientas de pruebas de penetración para moverse lateralmente dentro de una red.

¿Los servicios de Garmin están de nuevo en línea?

Según informes de la BBC, algunos de los servicios de Garmin están de nuevo en línea después de haber sido interrumpidos el 23 de julio. A pesar de que los servicios de Garmin fueron interrumpidos significativamente, Garmin aún no ha confirmado que se trate de un ataque de ransomware. Garmin ha declarado que los datos personales de sus clientes están seguros y que no se filtró ni se robó ninguna información durante el ataque cibernético.

Aunque los servicios de la compañía están de nuevo en línea, todavía no está claro si Garmin pagó los millones de dólares que los hackers pueden haber exigido. Las autoridades de EE.UU. ya están analizando la situación mientras se redacta este blog. Teniendo en cuenta que las tiendas de Garmin están situadas en California, Nueva York y Europa, si hay algún indicio de que los datos personales de los usuarios han sido robados o filtrados durante este ataque, Garmin podría enfrentarse a sanciones relacionadas con la CCPA, la Ley SHIELD y la GDPR.

Lecciones aprendidas

Eduque a sus empleados sobre los ataques de phishing y de ingeniería social, ya que estos se han convertido en algunos de los puntos clave de entrada de las amenazas de malware. Siempre parchee sus dispositivos, aplicaciones y puntos de contacto de la red para evitar ser un blanco fácil.

Garantice que sus dispositivos remotos estén actualizados y hayan sido examinados según la política de confianza cero. Emplee procedimientos de seguridad de dispositivos, seguridad de datos y seguridad de aplicaciones para mantener sus defensas fuertes y confiables.

  Zoho Corp. All rights reserved.