Garmin, der Anbieter von Navigationslösungen, war ja Opfer eines Ransomware-Angriffs. Nun ist das Unternehmen seit einigen Tagen dabei, Schritt für Schritt in den Normalbetrieb zurück zu kommen. Unklar ist, ob Garmin Lösegeld an di Erpresser gezahlt hat.
Anzeige
Shutdown aller Garmin-Dienste
Garmin, ein schweizerisch-amerikanischer Hersteller von Navigations-Empfängern zur satellitengestützten Positionsbestimmung und Navigation, musste vor einigen Tagen seine gesamte IT-Infrastruktur herunterfahren. Damit fielen auch alle Nutzerdienste wie Garmin Connect aus. Selbst die Webseite des Unternehmens war zeitweise nicht erreichbar. Ich hatte im Artikel Garmin kappt Dienste (vermutlich) nach Ransomware-Angriff darüber berichtet.
(Garmin Webseite ist down)
Kurz nach den Problemen stellte sich heraus, dass das Unternehmen Opfer eines Ransomware-Angriffs war, wie ich im Beitrag Garmin Shutdown durch WastedLocker Ransomware-Angriff berichtete.
Hat Garmin Lösegeld bezahlt?
Die spannende Frage ist, ob das Unternehmen Lösegeld an die Erpresser gezahlt hat, um die von der Ransomware verschlüsselten Dateien wieder zu entschlüsseln. Zack Whittaker (@zackwhittaker) hat auf Twitter diese Frage aufgeworfen, aber keine Antwort geliefert.
Sky's reporting largely lines up with what I heard from one source the other day. (I couldn't immediately get a second.) The big question now is how Garmin got the key without violating U.S. sanctions. Who is the intermediary?
I've put in questions to Garmin. https://t.co/N7hggZw2Wm
— Zack Whittaker (@zackwhittaker) July 27, 2020
Sicherheitsblogger Catalin Cimpanu hat dann auf Twitter nachfolgenden Tweet veröffentlicht.
Was told on Thursday they didn't want to pay. I guess they changed their mind by Saturday
I'd wager they realized that re-imaging thousands of servers and workstations and restoring from backups takes months (see Maersk case as example) and not days, as they initially hoped https://t.co/S49uUiURk3
— Catalin Cimpanu (@campuscodi) July 27, 2020
In nachfolgendem Tweet wird eindeutig behauptet, dass Garmin einen Schlüssel erhielt, um die Dateien zu entschlüsseln.
Anzeige
Garmin got the key https://t.co/eIWQ8I05mw
— Joseph Cox (@josephfcox) July 27, 2020
Ergänzung: Bleeping Computer hat die Bestätigung, dass Garmin einen Decryptor bekommen hat. Die haben diesen Artikel zu diesem Thema veröffentlicht.
Garmin stellt Sicherheitsingenieure ein
Interessant ist der nachfolgnende Tweet von Sicherheitsforscher(@VessOnSecurity, der feststellte, dass Gamin plötzlich damit begann, Sicherheitsingenieure einzustellen.
I wonder why Garmin has decided that they need security engineers all of a sudden… https://t.co/ePuhqidt7H
— Vess (@VessOnSecurity) July 28, 2020
Langsam in die Normalität zurück
Die Kollegen von heise haben vor einigen Tagen diesen Beitrag veröffentlicht und beschreiben, wie sich Garm Schritt für Schritt mit seiner IT-Infrastruktur wieder in den Normalzustand zurück bewegt. Die Statusseite von Garmin zeigt aber auch heute noch eingeschränkte Dienste an.
2015
wie wurde die Firma infiziert? Mittels E-Mail?
Ich habe keine Infos dazu – Garmin lässt auch wenig verlauten – aber vielleicht habe ich zu wenig recherchiert.