Un riscatto da dieci milioni di dollari, pagato per riottenere il controllo dei suoi server. Lo avrebbe pagato Garmin al gruppo di cybercriminali che nei giorni scorsi l’aveva presa di mira. A riportare la notizia è SkyNews, secondo la quale il pagamento è stato effettuato tramite una società di negoziazione chiamata Arete IR, al fine di consentire a Garmin di recuperare i dati tenuti in ostaggio a seguito dell’attacco.
Ma facciamo un passo indietro. Il 23 luglio scorso Garmin, società molto apprezzata dai runner di tutto il mondo per i suoi prodotti d’avanguardia sul tracciamento sportivo, fa registrare i primi malfunzionamenti. In principio si teme un guasto tecnico, col passare delle ore si scopre, invece, che la società di Kansas CIty è vittima di un attacco informatico, di tipo ransomware.
La situazione sembra incredibile. Garmin si ritrova con i suoi servizi offline e con malfunzionamenti che riguardano finanche la mail aziendale e il call center. La società conferma di essere vittima di un attacco informatico solo qualche giorno dopo, il 27 luglio, proprio mentre molti dei suoi servizi tornavano disponibili., Nessun cenno a un eventuale riscatto pagato ai cybercriminali in cambio del rilascio dei server, ma solo una rassicurazione sul fatto i dati degli utenti sono rimasti al sicuro.
I primi rapporti sull’accaduto, suggerivano che Garmin fosse stata colpito da una varietà di ransomware chiamata WastedLocker, che si ritiene sia stata sviluppata da hacker collegati a un gruppo con sede in Russia. Il gruppo, noto come Evil Corp, è stato individuato dal Ministero del Tesoro degli Stati Uniti lo scorso dicembre, e secondo Sky News una società di negoziazione in ambito ransomware (cioè un’azienda che si occupa di mediare fra le vittime e i gruppi di cybercriminali) ha rifiutato di lavorare con Garmin per risolvere l’incidente, proprio per paura di incorrere in sanzioni.
Secondo quanto scrivono alcuni blog specializzati, i russi sono stati capaci di bucare i sistemi di Garmin grazie a una falla trovata in un server aziendale con sede in Taiwan. Da lì, WastedLocker si è esteso a tutta l’infrastruttura di Garmin, mandando offline alcuni servizi molto conosciuti come Garmin Connect e Garmin Pilot. In tutto questo periodo, i dispositivi (come gli smartwatch) degli utenti, sono rimasti utilizzabili con applicazioni terze.Secondo Sky News, alla fine sarebbe stata la Arete IR a mediare per conto di Garmin (entrambe le società hanno rifiutato di commentare la notizia).
Secondo BleepingComputer, inoltre, Garmin avrebbe pagato il riscatto a causa della mancanza di punti deboli noti nel virus WastedLocker. Il codice di un eseguibile sviluppato da Garmin, esaminato da BleepingComputer, suggerisce che la società ha pagato il riscatto il 24 luglio o il 25 luglio e la pubblicazione ha confermato che l’eseguibile era in grado di decrittografare i file di esempio crittografati da WastedLocker. Notoriamente, pagare un riscatto a un gruppo cybercriminale è una prassi molto sconsigliata. Spesso, infatti, incassato il malloppo (solitamente in Bitcoin), i cybercriminali svaniscono e i sistemi rimangono comunque compromessi. Stavolta, invece, per Garmin sarebbe andata diversamente.
Fonte: Il Sole 24 Ore