 |
| Code mit irreführenden Informationen kann auf bestehenden Websites eingefügt werden, um Benutzer dazu zu bringen, Malware auszuführen. Screengrab malwarebytes.com |
Es
scheint, dass Garmin mehr Talent dafür hat, steuergünstige Lokalitäten für den
eigenen Firmensitz zu finden, als die eigene IT-Infrastruktur vor Kriminellen
zu schützen:
“Zuerst zog die Zentrale nach Taiwan um, 2000 auf die Cayman-Inseln und 2010 nach Schaffhausen. Der letzte Umzug geschah wie bei einer Briefkastengesellschaft mit nur fünf Mitarbeitern und ohne leitende Angestellte. Mittlerweile ist jedoch das Sekretariat, der Executive Vice President und die Rechtsabteilung des Konzerns in Schaffhausen angesiedelt…“ (Wikipedia)Garmin ist also ein schweizerisch-amerikanisches Unternehmen, das mehr als 12‘000 Angestellte hat und 3,35 Milliarden US-Dollar Umsatz macht. Trotz seiner immensen Grösse und geballter IT-Kompetenz gelang es dem Unternehmen nicht, sich wirkungsvoll vor einer Ransomware-Attake zu schützen:
“Wer derzeit ein Fitnessband, eine Sportuhr oder einen Radcomputer von Garmin mit der hauseigenen Datencloud synchronisieren will, muss sich gedulden. Seit Mittwoch ist der Anbieter von einem – wie es auf der Firmenwebsite heisst – "Ausfall" betroffen, der Garmin.com und Garmin Connect betrifft. Dieser erstreckt sich auch auf die Telefonzentralen, sodass auch Anrufe den Konzern nicht erreichen. Sogar der E-Mail-Abruf ist gestört und Online-Chats funktionieren nicht. Eine Anmeldung auf der Connect-Startseite ist ebenfalls nicht möglich. Der Ausfall betrifft ausser der Connect-Apps auch Dienste wie Garmin Express und beispielsweise FlyGarmin. In einem an das taiwanische Nachrichtenportal Ithome durchgestochenes internes Memo an Garmin Taiwan heisst es, nicht nur diverse IT-Abteilungen und die Datenbanken des Unternehmens seien lahmgelegt, sondern auch die Produktionslinien der Geräte.“ (heise.de)
Die
IT-Website BleepingComputer
hat inzwischen bestätigt bekommen, dass es sich bei der Software, die Garmin
attackiert hat, um die relativ neue Ransomware
WastedLocker handelt:
"BleepingComputer erfuhr von einem Garmin-Mitarbeiter, dass die IT-Abteilung von Garmin versucht habe, alle Computer im Netzwerk ferngesteuert herunterzufahren, noch währenddem die Geräte verschlüsselt wurden, einschliesslich der über VPN verbundenen Heimcomputer. Nachdem dies nicht möglich war, wurde die Mitarbeitern angewiesen, alle Computer im Netzwerk herunterzufahren, auf die sie Zugriff hatten. [...] Als Teil dieser unternehmensweiten Abschaltung fuhr Garmin alle in einem Datenzentrum gehosteten Geräte ebenfalls hart herunter, um zu verhindern, dass sie ebenfalls verschlüsselt werden. Diese unternehmensweite Abschaltung war die Ursache für den globalen Ausfall von Garmin Connect und anderer damit verbundener Dienste. BleepingComputer brachte in Erfahrung, dass die Angreifer ein Lösegeld in Höhe von 10 Millionen Dollar fordern".
Die auf
IT-Sicherheit spezialisierte Website malwarebytes.com
geht davon aus, dass WastedLocker aus Russland kommt. Wenn es den Urhebern gelinge,
einmal in ein Netzwerk eineinzudringen, sei es quasi unmöglich, sie daran zu
hindern, zumindest einen Teil der Dateien zu verschlüsseln. Das Einzige, was in
einem solchen Fall helfen könne, sei vorhandene Rollback-Technologie oder Offline-Backups:
“Bei Online- oder anderweitig verbundenen Backups besteht die Möglichkeit, dass Ihre Backup-Dateien ebenfalls verschlüsselt werden, was den Sinn der Backups zunichtemacht. Bitte beachten Sie, dass die Rollback-Technologien von der Aktivität der Prozesse abhängen, die Ihre Systeme überwachen. Und es besteht die Gefahr, dass diese Prozesse auf der Zielliste der Lösegeld-Bande stehen. Das bedeutet, dass diese Prozesse abgeschaltet werden, sobald die Kriminellen Zugang zu Ihrem Netzwerk erhalten.“
No comments:
Post a Comment