Em 23 de julho, os servidores da Garmin, empresa que fabrica smartwatches, ficaram offline após sofrerem um ataque cibernético. Agora, a Sky News relata que a empresa pagou milhões de dólares em um resgate por meio da Arete IR, uma empresa de negociação, para retomar os seus serviços e se ver livre de um ransomware.
Durante o final de semana, o BleepingComputer relatou que conseguiu confirmar que o ransomware em questão era o WastedLocker. O blog teve acesso a um executável do departamento de TI da Garmin, no qual encontraram diversos “instaladores de softwares de segurança, uma chave de decriptografia, um WastedLocker decriptografado e um script para rodar tudo.”
O BleepingComputer testou de forma independente que as chaves funcionavam e afirmaram que a Garmin provavelmente pagou o resgato entre 24 e 25 de julho, com base em uma marcação temporal no script.
A Sky News relata que a Garmin tentou inicialmente pagar o resgate através de outra empresa, mas que a ameaça de sanções levou essa companhia a declinar. A sanção, neste caso, refere-se a uma que o Tesouro dos Estados Unidos aplicou à Evil Corp no início de dezembro.
A Evil Corp é um grupo de hacking com sede na Rússia que se pensa estar por trás do resgate do WastedLocker. Essa sanção diz que pessoas americanas não estão autorizadas a realizar nenhum tipo de transação com qualquer negócio ou indivíduo associado à Evil Corp – mesmo que estejam sendo extorquidas.
A Arete IR, a empresa que supostamente mediou a negociação pela Garmin, publicou no Twitter em 24 de julho que acreditava haver provas inconclusivas que ligassem o WastedLocker à Evil Corp – uma possível razão para terem aceitado o caso da Garmin. De acordo com a Sky News, a Garmin não pagou o resgate diretamente, mas, em vez disso, fez a Arete IR fazer o pagamento como “parte de seus serviços de negociação de resgate”.
De modo geral, a única maneira de a Garmin ter conseguido a chave de decriptografia foi pagando o resgate. Neste caso, com base na reportagem do BleepingComputer, parece que a Garmin também procurou empresas de cibersegurança para obter um programa de decriptografia personalizado que fosse mais rápido e seguro do que um fornecido pelos hackers.
Embora o valor exato que a Garmin pagou seja desconhecido, tem sido amplamente divulgado que os hackers exigiram US$ 10 milhões. A Garmin emitiu uma declaração oficial em 27 de julho confirmando que tinha sido vítima de “um ataque cibernético que codificou alguns de [seus] sistemas”, mas deu muitos detalhes.
Atualmente, a maioria dos serviços da Garmin está funcionando e a empresa diz não ter visto nenhuma indicação de que os dados dos clientes tenham sido vazados. (Ainda assim, provavelmente é uma boa ideia mudar sua senha.) Mas nem tudo está 100% normal. Enquanto eu escrevia este texto, o Garmin Connect ainda mostrava conectividade limitada no que diz respeito a uploads de atividades exportadas da web, quadros de líderes de desafios e sincronização de terceiros. O serviço Garmin Dive também não conseguia fazer o upload de novos mergulhos neste momento.