אחרי ימים של דיווחים ושקט תקשורתי מצד החברה, גרמין (Garmin) מודה שהשבתת השירותים שלה נבעה ממתקפת סייבר. עם זאת, החברה לא חשפה האם היא נכנעה לדרישות הכופר ושילמה לתוקפים הרוסיים 10 מיליון דולר לפי הדיווחים.
הודאה ראשונה
כזכור ביום חמישי בלילה (שעון ישראל) קרסו כל שירותי הרשת של גרמין, כולל Garmin Connect, המשמש את לקוחות החברה לסנכרון ולמעקב אחרי תוצאות הפעילויות שלהם במכשירים השונים; ושירות flyGarmin המשמש טייסים ומכשירי ניווט, מה שלא מאפשר לטייסים לעדכן את מכשירי הטיסה שלהם, לקבוע טיסות ולתכנן נתיבים על פי דרישות החובה של רשות התעופה האמריקאית. בנוסף, הושבת מערך שירות הלקוחות של החברה ואתרים שונים שלה.
עד עתה התייחסה גרמין לפרשה כ”השבתת שירותים” (Outage), אך העדויות אודות מתקפת הכופר לא פסקו. עתה לראשונה היא מודה שההשבתה הזו נבעה ממתקפת סייבר: “גרמין נפלה קורבן למתקפת סייבר שהצפינה חלק מהמערכות שלנו ב-23.7.20” נכתב בהודעה של החברה. עוד נכתב בהודעה: “לא מצאנו עדות לכך שמידע של לקוחות כמו אמצעי תשלום מ-Garmin Pay, נפגע, דלף או נגנב… המערכות שנפגעו משוחזרות עכשיו, ואנחנו מאמינים שנחזור לפעילות רגילה במהלך הימים הקרובים”.
נכון לרגע כתיבת שורות אלו, חזרו חלק מהשירותים, בהם Garmin Connect לזמינות מלאה וחלקם בזמינות מוגבלת. ככל הנראה בימים הקרובים ישלימו אנשי המערכת את הגיבויים והמידע יהיה זמין שוב למשתמשים. מכיוון שהמידע על האימונים נשמר גם על השעון וגם מסונכרן לענן, משתמשי גרמין צפויים לראות את התוצאות המעודכנות שלהם מתעדכנות בימים הקרובים.
ההאקרים הרוסיים חוזרים
בגרמין לא הוסיפו פרטים מעבר להודאה במתקפת הסייבר, ולכן לא ידוע האם החברה שילמה את הכופר כדי לשחרר את הקבצים. על פי דיווח ב-Sky News, החברה הצליחה להניח את ידיה על מפתח ההצפנה, אולם לא נמסר איך והאם הועבר תשלום תמורתו.
כזכור, על פי הדיווחים, נפגעה גרמין ממתקפת כופר מסוג WastedLocker, שנוהלה על ידי חבורת ההאקרים הרוסית Evil Corp. תוכנת WastedLocker היא מתקפה חדשה יחסית בנוף תוכנות הכופר והיא התגלתה לראשונה באפריל 2020. מרגע שהמערכת נדבקה בנוזקה, יתחיל תהליך סריקה מהיר, במהלכו תחפש תוכנת הכופר קבצים חשובים – הן מקומית והן בכל רחבי הרשת. הקבצים הללו הם קבצים שניתן למצוא במערכות ארגוניות כמו שרתים, מכונות וירטואליות ואחסון בענן. התוכנה לא מסתפקת בקבצים החשובים, והיא גם מנסה לאתר קובצי גיבוי, קובצי image וכל קובץ שיכול לעזור לאנשי ה-IT לשחזר את הנתונים. מרגע שהתוכנה מאתרת את הקבצים השונים, הם יוצפנו ושמם ישונה על פי התבנית file.pdf.garminconnectwasted.
Evil Corp, שעומדת גם מאחורי מתקפת Dridex מ-2019, נוהגת לגבות בין חצי מיליון דולר ל-10 מיליון דולר מהקורבן למתקפת הסייבר שלה – ככל הנראה בהתאם לגודל הארגון ופוטנציאל הנזק. עם זאת, בדצמבר 2019 נכנסה קבוצת ההאקרים הרוסית לרשימה השחורה של משרד האוצר האמריקאי, כך שחוקית לפחות, אסור היה לגרמין לנהל מגעים איתה.
כתב: יניב אביטל ופורסם לראשונה באתר Geektime
- מחקר ראשון מסוגו של מיקרוסופט מגלה מה עושה לנו העבודה מהבית
- תחקיר: אמזון נפגשה עם סטארטאפים לגבי השקעה – ואז השיקה מוצרים מתחרים