Analyse van de gerichte ransomware WastedLocker

De gedetailleerde technische analyse van onze experts van de hoofdverdachte in de ransomware-aanval op Garmin

Eind juli 2020 stonden tal van technieuwssites vol met artikelen over Garmin. Verschillende Garmin-diensten, waaronder apparaatsynchronisatie met de cloud en tools voor piloten, waren uitgeschakeld. De schaarste aan precieze informatie zorgde ervoor dat de wildste theorieën de ronde deden. Wij besloten echter te wachten tot er concrete gegevens waren voordat we de situatie zouden beoordelen.

In een officiële verklaring bevestigde Garmin dat ze getroffen waren door een cyberaanval die de online diensten had onderbroken en sommige interne systemen had versleuteld. De beschikbare informatie ten tijde van dit schrijven wijst erop dat de aanvallers gebruik maakten van de WastedLocker-ransomware. Onze experts voerden een gedetailleerde technische analyse van de malware uit, en hieronder leest u meer over hun bevindingen.

WastedLocker-ransomware

WastedLocker is een voorbeeld van gerichte ransomware — malware die is aangepast om een specifiek bedrijf aan te vallen. Het bericht om losgeld sprak het slachtoffer bij naam aan, en alle versleutelde bestanden bevatten de aanvullende extensie .garminwasted.

Het cryptografische plan van de cybercriminelen wijst ook op die conclusie. De bestanden werden versleuteld met gebruik van de AES- en RSA-algoritmes, die makers van ransomware vaak in combinatie gebruiken. Er wordt dan echter één openbare RSA-sleutel gebruikt om bestanden te versleutelen in plaats van een sleutel die uniek wordt gegenereerd voor elke infectie. In andere woorden, als deze ransomware-modificatie tegen meerdere doelwitten werd gebruikt, zou het dataversleutelingsprogramma voor algemeen gebruik zijn, want er zou dan ook één privésleutel moeten zijn.

Bovendien toont de ransomware de volgende opvallende kenmerken:

  • Prioriteren van gegevensversleuteling, wat betekent dat de cybercriminelen een specifieke hoofdmap met bestanden kunnen aanmerken om als eerste versleuteld te worden. Hierdoor wordt de schade gemaximaliseerd in het geval dat er een beveiligingsmechanisme is dat de gegevensversleuteling stopt voordat deze voltooid is;
  • Ondersteuning voor bestandsencryptie op netwerkmiddelen op afstand;
  • Privilege-controle en gebruik van DLL hijacking voor uitbreiding van bevoegdheden.

U kunt een gedetailleerde analyse van de ransomware vinden in de post WastedLocker: technical analysis op Securelist.

He gaat het nu met Garmin?

Volgens de geüpdatete verklaring van het bedrijf werken de diensten weer, al kan het zijn dat de gegevenssynchronisatie nog langzaam verloopt en beperkt is in sommige individuele gevallen. Dat is begrijpelijk: apparaten die gedurende meerdere dagen niet met hun clouddiensten konden synchroniseren, nemen nu allemaal tegelijk contact op met de bedrijfsservers, waardoor die er zwaar belast is.

Garmin meldt dat er geen bewijs bestaat dat iemand tijdens het incident ongeautoriseerde toegang heeft verkregen tot gebruikersgegevens.

Hoe beschermt u zich tegen dit soort aanvallen?

Gerichte ransomware-aanvallen op bedrijven zullen blijven voorkomen. Onze aanbevelingen om u hiertegen te beschermen zijn vrij standaard:

  • Zorg dat uw software altijd bijgewerkt is, vooral het besturingssysteem; de meeste trojans benutten namelijk bekende kwetsbaarheden;
  • Gebruik RDP om openbare toegang tot bedrijfssystemen te weigeren (of gebruik indien nodig een VPN);
  • Train werknemers in de grondbeginselen van cybersecurity. Het is meestal door social engineering bij werknemers dat ransomware-trojans bedrijfsnetwerken kunnen infecteren;
  • Gebruik moderne beveiligingsoplossingen met geavanceerde antiransomware-technologie. Onze producten detecteren WastedLocker en voorkomen infecties.
Tips