Garmin pode ter pago milhões de dólares em resgate após ataque hacker
Em 23 de julho, os servidores da Garmin, empresa que fabrica smartwatches, ficaram offline após sofrerem um ataque cibernético. Agora, a Sky News relata que a empresa pagou milhões de dólares em um resgate por meio da Arete IR, uma empresa de negociação, para retomar os seus serviços e se ver livre de um ransomware.
Durante o final de semana, o BleepingComputer relatou que conseguiu confirmar que o ransomware em questão era o WastedLocker. O blog teve acesso a um executável do departamento de TI da Garmin, no qual encontraram diversos “instaladores de softwares de segurança, uma chave de decriptografia, um WastedLocker decriptografado e um script para rodar tudo.”
O BleepingComputer testou de forma independente que as chaves funcionavam e afirmaram que a Garmin provavelmente pagou o resgato entre 24 e 25 de julho, com base em uma marcação temporal no script.
A Sky News relata que a Garmin tentou inicialmente pagar o resgate através de outra empresa, mas que a ameaça de sanções levou essa companhia a declinar. A sanção, neste caso, refere-se a uma que o Tesouro dos Estados Unidos aplicou à Evil Corp no início de dezembro.
A Evil Corp é um grupo de hacking com sede na Rússia que se pensa estar por trás do resgate do WastedLocker. Essa sanção diz que pessoas americanas não estão autorizadas a realizar nenhum tipo de transação com qualquer negócio ou indivíduo associado à Evil Corp – mesmo que estejam sendo extorquidas.
A Arete IR, a empresa que supostamente mediou a negociação pela Garmin, publicou no Twitter em 24 de julho que acreditava haver provas inconclusivas que ligassem o WastedLocker à Evil Corp – uma possível razão para terem aceitado o caso da Garmin. De acordo com a Sky News, a Garmin não pagou o resgate diretamente, mas, em vez disso, fez a Arete IR fazer o pagamento como “parte de seus serviços de negociação de resgate”.
De modo geral, a única maneira de a Garmin ter conseguido a chave de decriptografia foi pagando o resgate. Neste caso, com base na reportagem do BleepingComputer, parece que a Garmin também procurou empresas de cibersegurança para obter um programa de decriptografia personalizado que fosse mais rápido e seguro do que um fornecido pelos hackers.
Embora o valor exato que a Garmin pagou seja desconhecido, tem sido amplamente divulgado que os hackers exigiram US$ 10 milhões. A Garmin emitiu uma declaração oficial em 27 de julho confirmando que tinha sido vítima de “um ataque cibernético que codificou alguns de [seus] sistemas”, mas deu muitos detalhes.
Atualmente, a maioria dos serviços da Garmin está funcionando e a empresa diz não ter visto nenhuma indicação de que os dados dos clientes tenham sido vazados. (Ainda assim, provavelmente é uma boa ideia mudar sua senha.) Mas nem tudo está 100% normal. Enquanto eu escrevia este texto, o Garmin Connect ainda mostrava conectividade limitada no que diz respeito a uploads de atividades exportadas da web, quadros de líderes de desafios e sincronização de terceiros. O serviço Garmin Dive também não conseguia fazer o upload de novos mergulhos neste momento.