21:45
27/7/2020

Garmin dziś po raz pierwszy od początku awarii przyznał, że jest ona wynikiem ataku złośliwym oprogramowaniem, które zaszyfrowało dane firmy. Firma zaczęła też stopniowo przywracać swoje usługi. SKY News twierdzi, że Garmin “pozyskał klucz szyfrujący”. Czy to oznacza, że firma zapłaciła 10 m ilionów dolarów okupu przestępcom?

Garmin wstał za szybko?

Kilka dni temu jako chyba pierwsi w Polsce informowaliśmy o tym, że Garmin padł ofiarą ransomware’u. Pliki (wciąż nie wiadomo których systemów) zostały zaszyfrowane, a w konsekwencji Garmin położył praktycznie wszystkie swoje usługi, aby je chronić (to nie jest równoznaczne z tym, że wszystkie usługi zostały dotknięte atakiem). Klienci nie byli pocieszeni…

Dziś, czyli po 4 dniach od awarii, usługi zaczęły wstawać. To szybko, nawet bardzo szybko. Albo bardzo odważnie…

Po ataku ransomwarem należy założyć, że przestępcy, którzy zaszyfrowali dane, nie tylko “chwilowo” uczynili je niedostępnymi, ale mogli też wcześniej je skopiować (czyli wykraść) lub, co gorsza, wciąż pozostają w pochowani w infrastrukturze.

Dlatego “podnoszenie” się po ataku wymaga dokładnej analizy incydentu (co zostało zaszyfrowane jako pierwsze, jaki był wektor ataku, gdzie przestępcy mogli się przedostać z przejętego zasobu i do jakich informacji uzyskali dostęp), a potem mozolnego odtworzenia systemów z kopii bezpieczeństwa (jeśli je mamy) a w przypadku braku pewności, czy kopie są “czyste”, postawienia wszystkiego na nowo.

O ile w przypadku Garmina nie sądzimy, żeby przestępcy zgrali wszystkie dane użytkowników (tego jest za dużo i nie są one zbyt wartościowe), to zawsze należy założyć, że jakiś system mogli zbackdoorować. Dlatego podnoszenie tak wielkiej infrastruktury tak szybko jest imponujące, a wśród niektórych komentatorów budzi pewne obawy oraz pytania, na które — niestety — w oficjalnym oświadczeniu Garmina odpowiedzi brak. Czy słuszne są te obawy i czy to oznacza, że Garmin zapłacił okup?

Komunikat, jaki zobaczyli pracownicy Garmina, których komputery zostały zainfekowane. Fot. Bleeping Computer

Czy Garmin zapłacił okup?

Wedle Sky News, to że Garmin podnosi część usług już dziś to zasługa “pozyskania klucza deszyfrującego”. Zwracamy uwagę na piękno i szeroką definicję słowa “pozyskanie”.

Z artykułu Sky News nie wynika, że firma Garmin zapłaciła przestępcom. Wynika wręcz, że im nie zapłaciła. A na pewno nie bezpośrednio. Sky News sugeruje, że Garmin zapłacił pośrednikowi — nie wiadomo komu i nie wiadomo za co.

Pośrednik mógł oczywiście (jak to robią niektóre firmy) zainkasować pieniądze i opłacić nimi przestępców — wiele firm na rynku tak postępuje (por. Oferowali odszyfrowywanie plików, ale tak naprawdę płacili okupy i doliczali sobie marżę za usługę). Ale pośrednik klucz mógł pozyskać też inaczej niż płacąc okup. Mógł — co czasem się zdarza — znaleźć słabość w ransomwarze wykorzystanym do zaszyfrowania plików i na tej podstawie ustalić (bądź “złamać”) klucz deszyfrujący.

Na chwilę obecną możemy tylko spekulować. Garmin odmawia komentarza w tej sprawie.

[poll id=”52″]

Płacenie pośrednikowi jest lepsze

Na koniec warto dodać, że płacenie pośrednikowi przez wielu jest postrzegane jako najkorzystniejsze wyjście z sytuacji. Firma nie traci wtedy wizerunku, bo to nie ona de facto płaci przestępcom. Co więcej, dostaje fakturę i często na niższą kwotę niż okup, bo pośrednik go z przestępcami znegocjuje.

W przypadku Garmina jest jeszcze jedna zaleta takiego ruchu — użyte oprogramowanie szyfrujące (WastedLocker), jak sugerują niektórzy, miało zostać stworzone przez EvilCorp, rosyjski gang oskarżany o współpracę z rosyjskimi służbami, który został objęty sankcjami przez amerykański Departament Skarbu. A to oznacza, że Garmin mógłby narazić się na odpowiedzialność finansując tę grupę pieniędzmi z okupu.

To tę grupę podejrzewa się o stworzenie WastedLockera

Mam sprzęt Garmina, czy Rosjanie wiedzą gdzie biegam i jak śpię?

Oni to wiedzą, nawet jeśli nie masz sprzętu Garmina ;)

Zupełnie niezwiązany z tematem artykułu obrazek. Nawet nie my go tu wstawiliśmy.

A poważniej, najbardziej wartościowymi informacjami, jakie użytkownicy trzymają w chmurze Garmina są naszym zdaniem hashe haseł, które mogą po złamaniu posłużyć do ataków na kolejne konta (zobacz jak wyglądają takie ataki i jak się przed nimi zabezpieczyć). Dlatego sugerujemy na wszelki wypadek zmienić hasło do wszystkich kont, gdzie mieliście takie samo hasło jak w Garminie.

Reszta informacji nie będzie zbyt wartościowa dla cyberprzestępców nastawionych na zysk. Te same informacje na Wasz temat (nazwiska, adresy, telefony) latają już po internecie w innych bazach (np. Morele) — waga, wzrost, numer buta, czy inne parametry dotyczące kondycji, przynajmniej dla typowych internetowych rzezimieszków nie mają żadnego większego znaczenia i trzeba pamiętać, że nie są to “stałe”.

Można tu oczywiście snuć wizję sprzedaży tych danych do ubezpieczycieli w celu gnębienia Was przez “karne” składki za niezdrowy tryb życia, ale to scenariusz tak bardzo mało prawdopodobny z wielu powodów, że utnijmy te herezje. Jeśli ktoś się tego obawia, niech pójdzie sobie pobiegać. Z zegarkiem Garmina lub bez. Dobrze mu to zrobi.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

35 komentarzy

Dodaj komentarz
  1. Co do ostatniego akapitu. Użytkownicy garmina raczej powinni spać spokojnie, bo to nie oni się zaniedbują fizycznie. Obawiać się ubezpieczycieli powinni ci, którzy nie istnieją w “sportowych bazach”. ;)

    • Ciekawe jaki jest odsetek klientów, którzy kupują fit-gadżety z myślą, “zadbam w końcu o siebie i to mi w tym pomoże”, konfigurują profil ujawniając niezbyt zdrowe parametry ciała i …nie starcza im motywacji do zrobienia czegokolwiek więcej ;)

    • Pewnie tyle samo co tych od “nowy rok – nowy ja”. Idą w styczniu na siłownię, żeby w lutym stwierdzić, że to bez sensu ;)

    • Chyba łatwiej delikwenta wysłać na badania.

    • A jaka jest zależnoć pomiędzy byciem aktywnym fizycznie i liczbą kontuzji? To nie jest tak, że każdy sport wiąże się z innymi kontuzjami? Nawet jeśli ryzyko kontuzji spada bo np. stawy są silniejsze to częściej się narażamy bo częściej konkurujemy? Może da się określić jak często bierzesz udział w zawodach korelując przebyty dystans z datami ważnych imprez sportowych. Nie mówiąc o zapisach z GPS.

  2. Czy takie firmy pośredniczące w okupie działają legalnie? Czy gdyby przyszło skorzystać z usług takiego pośrednika to jak rozpoznać dobrego i uczciwego? Jak nie zostać oszukanym?

  3. Dobra, a co z Garmin Pay? Bo o tym nigdzie się nie pisze a jednak zegarki to nie tylko rozmiar buta ;)

    • Pisze się. Jest w naszym poprzednim artykule. Tldr: z wielu powodów nie ma powodów do obaw ;)

  4. 1. Putin właśnie teraz siedzi w bunkrze pod Kremlem i analizuje wasze dane biometryczne na podstawie, których wytypuje swoją kolejną ofiarę. Rządzeniem Rosją zajmują się jego doradcy, tymczasem on może poświęcić większość swojego czasu na knucie jak podbić zachód wykorzystując dane z waszych zegarków.
    2. Dlaczego oni nadal używają Windowsa?
    3. Jaki jest sens płacenia okupu skoro można robić backup co pół godziny.

    • Ad.3. Ty tak serio? Wyobraź sobie setki komputerów, dziesiątki serwerów, terabajty danych i backup co pół godziny? Nawet przyjmując, że samych zmian będzie ułamek procenta, a część z nich można zdeduplikować, to i tak są gigabajty co 30 minut, które później trzeba scalić (by nie trzymać w nieskończoność, albo nie musieć robić jeszcze backupów całościowych) i usunąć starsze. Jak masz sieć 5 komputerów, to możesz sobie takie kopie półgodzinne robić, ale jak setki lub tysiące, to zaczyna to być wyzwaniem.

    • backup 40tb danych co 30 min? a to dobre..

    • 40 Tb w pół godziny to żaden wyczyn dla nowoczesnej infrastruktury. Ja aktualnie wykonuje backup 1GB /s per maszyna virt. Co daje około 3.5 TB na godzinę per maszyna. Ograniczeniem jest core switch 10gbit. Jak bym wstawił 100gbit i kilka all flash ssd array 35TB bez problemu per maszyna na godzinę. Na pojedynczym linku.

    • @Heliox
      35TB/h to nadal nie jest 40TB/0,5h…
      A to tylko teoria.

  5. 3. A co jeżeli przestępcy zainfekowali system dużo wcześniej i dopiero teraz się ujawnili? Tym samym wszystkie kopie bezpieczeństwa też są uwalone.

  6. Brakuje mi jednego punktu w ankiecie “odtworzyli z backupów”.
    Chyba, że jesteście pewni, że nie odtworzyli. Jesteście?

    • Dokładnie o tym samym pomyslalem.

    • By przywrócić kopię zapasową, musisz mieć pewność, że nie jest zainfekowana. W 3 dni raczej ciężko jest przejrzeć tak dużą infrastrukturę.

    • Możliwe, że cześć odtworzyli z backupu. Na moim koncie Garmin connect pojawił się desktop, który usunąłem jakiś miesiąc temu. Aktywności są wszystkie.

  7. Za $10 mln, można wynająć pośrednika który na zawsze rozwiąże problem atakujących. Taki pośrednik nazywa się najemnikiem…

  8. Ej, a czy to przypadkiem nie Niebezpiecznik pisał w jaki sposób na podstawie danych lokalizacyjnych (np. zapis trasy biegu) można ustalić miejsce zamieszkania żołnierzy / pracowników służb itd. I w drugą stronę…. tj. ustalić położenie “tajnych” obiektów, poligonów itd.??? Może te dane jednak dla jakiegoś wywiadu mogą okazać się pomocne?

    • +1 dokładnie!

  9. Teraz caly swiat widzi ile powinno się wydawac kasy na dobrych adminow i zabezpieczenia

    • W sensie: tak szybko wstali, więc są nieźli? Czy: tak łatwo dali się zaszyfrować, więc są słabi?

      To nie pierwsza zaszyfrowana firma.
      Inne, z miliardowymi kapitałami, z najlepiej opłacanymi fachowcami – też bywały szyfrowane. W dodatku zawsze ktoś powie coś z tych rzeczy:
      – może nam się uda, 10 lat był spokój
      – takich małych nie szyfrują
      – takich dużych nie szyfrują,
      – przecież nie mamy nic ważnego na dyskach,
      – przecież robimy jakieś kopie,
      – kupiliśmy Delle XPS po 12 tysi sztuka – tyle kosztowały, więc mamy nieśmiertelność,
      itd.

  10. Drogi niebezpieczniku, a może się spiknęli z Googlem i złamali klucz komputerem kwantowym? Ciekawe czy to możliwe?

    • Nie, to nie możliwe.

  11. Czy jesli ktos loguje sie do Garmina przez konto google albo facebook tez nalezy zmienic haslo?

  12. […] spore prawdopodobieństwo tego, że Garmin w celu zdobycia kodu skorzystał z tzw. pośrednika. Niebezpiecznik.pl wyjaśnia, że taka osoba mogła złamać klucz lub (co jest bardziej prawdopodobne) […]

  13. jakby mieli windows 10 nigdy by do tego nie doszło

  14. “Gang objęty sankcjami przez amerykański Departament Skarbu”… Takie jaja to tylko zachodnia d..oracja w stadium postmodernistycznym (czytaj: gnilnym) mógłby zafundować. :D

  15. Komputery kwantowe ktore ma nsa lamie gpg.
    Niestety trzeba podniesc klucze do 8000bit

  16. A jednak dane z aktywnosci moga byc tez interesujące.. Przynajmniej niektórych osób… Patrz temat Stravy I zamierzenia baz wojskowych. Garmin ma wersję militarne. Mogą z Gatmrmina korzystać osoby wpływowe (biznesmeni politycy urzędnicy wysokich szczebli ) podlegający ochronie. Dane o ich trybach sposobach aktywności są już w bazach naszych przyjaciół zza wschodniej granicy bez organizowania kosztownych i ryzykownych operacji inwigilujacych.

  17. “w przypadku braku pewności, czy kopie są czyste, postawienia wszystkiego na nowo” – zdecydowanie się nie zgadzam. W przypadku tak Poważnej firmy nie ma co się bawić w żadne pewności, tylko od razu należy stawiać wszystko od nowa. Inaczej jest tylko i wyłącznie kwestią czasu, kiedy przydarzy się kolejna “niespodzianka”.

  18. Czy możliwe ze wykorzystując dostęp do architektury całej firmy wprowadzili backdoor do aplikacji dla klientów?

  19. […] tym, że Garmin pozyskał klucz deszyfrujący pisaliśmy już 27 lipca, ale teraz wiadomo więcej. Firma nie zapłaciła przestępcom wprost. […]

  20. […] i rada dla każdego: Ataki mogą zdarzyć się każdej firmie, a ich obsługa zajmuje czas (por. Czy Garmin zapłacił 40 milionów okupu?). Dlatego warto, zapobiegawczo, zamawiać towary z płatnością przy odbiorze. W przypadku ataku […]

Odpowiadasz na komentarz Marcin

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: