Sunday, July 26, 2020

Garmin-Attacke: Es muss nicht immer ein Coronavirus sein

Trotz aller Warnungen, Vorsichtsmassnahmen und Investitionen: Auch grosse und wichtige Unternehmen scheinen immer noch nicht in der Lage zu sein, sich wirksam und hundertprozentig vor Viren-Attacken zu schützen. Diesmal wurde der Hersteller von GPS-Empfangstechnologie Garmin betroffen und mit ihm, Millionen von Kunden, die ihre Fitnessdaten bei Garmin gespeichert haben.

Code mit irreführenden Informationen kann auf bestehenden Websites
eingefügt werden, um Benutzer dazu zu bringen, Malware auszuführen.
                                                                      Screengrab malwarebytes.com
Es scheint, dass Garmin mehr Talent dafür hat, steuergünstige Lokalitäten für den eigenen Firmensitz zu finden, als die eigene IT-Infrastruktur vor Kriminellen zu schützen:
“Zuerst zog die Zentrale nach Taiwan um, 2000 auf die Cayman-Inseln und 2010 nach Schaffhausen. Der letzte Umzug geschah wie bei einer Briefkastengesellschaft mit nur fünf Mitarbeitern und ohne leitende Angestellte. Mittlerweile ist jedoch das Sekretariat, der Executive Vice President und die Rechtsabteilung des Konzerns in Schaffhausen angesiedelt…“ (Wikipedia)
Garmin ist also ein schweizerisch-amerikanisches Unternehmen, das mehr als 12‘000 Angestellte hat und 3,35 Milliarden US-Dollar Umsatz macht. Trotz seiner immensen Grösse und geballter IT-Kompetenz gelang es dem Unternehmen nicht, sich wirkungsvoll vor einer Ransomware-Attake zu schützen:
“Wer derzeit ein Fitnessband, eine Sportuhr oder einen Radcomputer von Garmin mit der hauseigenen Datencloud synchronisieren will, muss sich gedulden. Seit Mittwoch ist der Anbieter von einem – wie es auf der Firmenwebsite heisst – "Ausfall" betroffen, der Garmin.com und Garmin Connect betrifft. Dieser erstreckt sich auch auf die Telefonzentralen, sodass auch Anrufe den Konzern nicht erreichen. Sogar der E-Mail-Abruf ist gestört und Online-Chats funktionieren nicht. Eine Anmeldung auf der Connect-Startseite ist ebenfalls nicht möglich. Der Ausfall betrifft ausser der Connect-Apps auch Dienste wie Garmin Express und beispielsweise FlyGarmin. In einem an das taiwanische Nachrichtenportal Ithome durchgestochenes internes Memo an Garmin Taiwan heisst es, nicht nur diverse IT-Abteilungen und die Datenbanken des Unternehmens seien lahmgelegt, sondern auch die Produktionslinien der Geräte.“ (heise.de)
Die IT-Website BleepingComputer hat inzwischen bestätigt bekommen, dass es sich bei der Software, die Garmin attackiert hat, um die relativ neue Ransomware WastedLocker handelt:
"BleepingComputer erfuhr von einem Garmin-Mitarbeiter, dass die IT-Abteilung von Garmin versucht habe, alle Computer im Netzwerk ferngesteuert herunterzufahren, noch währenddem die Geräte verschlüsselt wurden, einschliesslich der über VPN verbundenen Heimcomputer. Nachdem dies nicht möglich war, wurde die Mitarbeitern angewiesen, alle Computer im Netzwerk herunterzufahren, auf die sie Zugriff hatten. [...] Als Teil dieser unternehmensweiten Abschaltung fuhr Garmin alle in einem Datenzentrum gehosteten Geräte ebenfalls hart herunter, um zu verhindern, dass sie ebenfalls verschlüsselt werden. Diese unternehmensweite Abschaltung war die Ursache für den globalen Ausfall von Garmin Connect und anderer damit verbundener Dienste. BleepingComputer brachte in Erfahrung, dass die Angreifer ein Lösegeld in Höhe von 10 Millionen Dollar fordern".
Die auf IT-Sicherheit spezialisierte Website malwarebytes.com geht davon aus, dass WastedLocker aus Russland kommt. Wenn es den Urhebern gelinge, einmal in ein Netzwerk eineinzudringen, sei es quasi unmöglich, sie daran zu hindern, zumindest einen Teil der Dateien zu verschlüsseln. Das Einzige, was in einem solchen Fall helfen könne, sei vorhandene Rollback-Technologie oder Offline-Backups:
“Bei Online- oder anderweitig verbundenen Backups besteht die Möglichkeit, dass Ihre Backup-Dateien ebenfalls verschlüsselt werden, was den Sinn der Backups zunichtemacht. Bitte beachten Sie, dass die Rollback-Technologien von der Aktivität der Prozesse abhängen, die Ihre Systeme überwachen. Und es besteht die Gefahr, dass diese Prozesse auf der Zielliste der Lösegeld-Bande stehen. Das bedeutet, dass diese Prozesse abgeschaltet werden, sobald die Kriminellen Zugang zu Ihrem Netzwerk erhalten.“




1 comment:

  1. This comment has been removed by a blog administrator.

    ReplyDelete