A Garmin foi vítima de um ataque com o ransomware WastedLocker que comprometeu a sua rede interna e os seus sistemas de produção. Na semana passada, a conhecida fabricante de smartwatches viu-se obrigada a interromper as suas operações a nível internacional. Ao que tudo indica, os atacantes estão a exigir um resgate de 10 milhões de dólares pelas informações capturadas.

A fabricante explicou através do seu website e da sua conta no Twitter que os serviços Garmin Connect e Garmin Pilot foram afetados. Além disso, devido ao ataque, a empresa está impedida de prestar serviços de apoio ao cliente, seja através dos call centers ou através de correio eletrónico. O ataque afetou ainda os serviços de base de dados de aviação flyGarmin e, ao website ZDNet, vários pilotos indicaram que não conseguiram atualizar o software.

De acordo com fontes internas a que o website BleepingComputer teve acesso, o departamento informático da Garmin tentou encerrar todos os computadores da rede à medida que os equipamentos começavam a ser encriptados pelo ransomware, incluindo aqueles que estavam ligados à VPN da empresa.

Foto dos ficheiros encriptados pelo ransomware WastedLocker
Foto dos ficheiros encriptados pelo ransomware WastedLocker créditos: BleepingComputer

Uma vez que a manobra não conseguiu ser executada com sucesso, a empresa pediu aos funcionários para encerrarem todos os computadores da rede a que tivessem acesso. Para evitar a perda de mais informações, todos os equipamentos que fazem parte do data center da Garmin foram desligados.

Imagem dos ficheiros encriptados obtida através de uma amostra do ransomware WastedLocker
Imagem dos ficheiros encriptados obtida através de uma amostra do ransomware WastedLocker créditos: BleepingComputer

Depois de uma investigação mais profunda, o website encontrou uma amostra do ransomware usado no ataque à Garmin e conseguiu gerar a nota de resgate deixada pelos cibercriminosos, assim como os ficheiros que foram encriptados.

Nota de resgate gerada através de uma amostra do ransomware WastedLocker
Nota de resgate gerada através de uma amostra do ransomware WastedLocker créditos: BleepingComputer

Por trás do ataque que terá começado na sede da empresa em Taiwan poderá estar o grupo Evil Corp, também conhecido como Dridex, que está ativo desde 2007. Os cibercriminosos russos que estão na “mira” do Departamento do Tesouro dos Estados Unidos, têm vindo a usar o ransomware WastedLocker para atacar múltiplas empresas norte-americanas e pedir resgates na ordem dos milhões de dólares.