Garmin von Ransomware Attacke betroffen

17. September, 2020
Garmin von Ransomware Attacke betroffen

Ein Cyberangriff legte am 23. Juli einige Systeme von Garmin lahm. Laut Garmin handelte es sich um eine Ransomware Attacke. Ob das Lösegeld bezahlt wurde, ist nicht bekannt. Die Systeme seien zügig wieder repariert worden, hieß es.

Das Unternehmen berichtete auf seiner Webseite, dass eine ganz Reihe ihrer Online-Dienste vier Tage lang nicht erreichbar waren. Einige Kunden, insbesondere aus der Flugbranche, bemerkten dies recht schnell. Sie konnten ihre Flugkarten plötzlich nicht mehr aktualisieren. Auch Webseiten-Funktionen für Garmin Kunden wie Support und diverse Anwendungen sowie die interne Kommunikation waren nicht funktionsfähig.

Laut Garmin gab es keine Hinweise darauf, dass die Angreifer auf Kundendaten oder Zahlungsinformationen von Garmin Pay zugegriffen hatte. Kunden konnten zwar zeitweise auch nicht mehr auf Garmin Connect zugreifen, aber alle auf Garmin-Geräten gespeicherten Aktivitäts- und Gesundheits- und Wellnessdaten waren nach wenigen Tagen wieder synchronisierbar. Auch die Dienste des Garmin Aviation Systems mit den Piloten App, flyGarmin, Connex Services und FltPlan.com waren nach vier Tagen wieder voll funktionsfähig. Die Ausfälle betrafen Garmin-Geräte in aller Welt.

Garmin selbst waren die Probleme nicht aufgefallen. Kunden hatten über Ausfälle verschiedener Dienste berichtet. Garmin Mitarbeiter berichteten schließlich auf Social Media-Webseiten, dass es sich um einen Ransomware Angriff gehandelt habe. Dabei seien Schwachstellen oder Fehlkonfigurationen ausgenutzt worden, um ins Garmin Netzwerk einzuhacken.

Evil Corp vermutlich hinter dem Ransomware-Angriff auf Garmin

Garmin Mitarbeiter hatten Screenshots und andere Daten zum Vorfall gepostet. Experten sahen darin Hinweise darauf, dass es sich bei der Ransomware um einen relativ neuen Typ, genannt WastedLocker, handelte. Dies wurde von einem anonymen Insider dann auch bestätigt. Laut diesem hätte Garmin auch von den Angreifern einen Code zum Entschlüsseln der Daten erhalten. Das lässt darauf schließen, dass das Unternehmen sich zur Zahlung der Lösegeldsumme entschlossen hat. Laut Informationen des Nachrichtendienstes Sky News hätte Garmin mitgeteilt, „keine direkte Zahlung an die Hacker geleistet zu haben, ansonsten aber nicht näher darauf eingegangen sei.“

Der Antimalware-Anbieter Malwarebytes hatte WastedLocker erst 14 Tage zuvor entdeckt und der Öffentlichkeit vorgestellt. Die Malware beginnt nach dem Eindringen sofort mit einer genauen Analyse der aktiven Netzwerkabwehr. Das so gesammelte Wissen macht sie sich dann bei späteren Angriffen oder Bewegungen im System zunutze.

Pieter Arntz von Malwarebytes erläuterte, dass, wenn WastedLocker sich erst einmal in einem Netzwerk eingenistet hat, es seine Forderungen absetzt. Erfahrungswerte bei WastedLocker zeigen, dass diese meistens in Größenordnungen zwischen 500.000 und 10 Millionen US-Dollar liegen.

Die meisten Sicherheitsforscher kennen die Ähnlichkeiten zwischen WastedLocker und der Dridex Malware. Diese lassen daher schlussfolgern, dass die russische Hackergruppe Evel Corp hinter dem Angriff steckt. Die Amerikaner hatten deren Anführer, Maksim V. Yakubets im letzten Jahr wegen verschiedener Cyberverbrechen angeklagt. Die Gruppe hat mit ihren Aktionen bereits in etwa 40 Ländern rund 100 Millionen US-Dollar gestohlen.

Meldung von garmin.com über das Garmin Outage
Artikel von arstechnica.com, 27.07.2020: Garmin’s four-day service meltdown was caused by ransomware
Artikel von wired.com, 27.07.2020: A Cyberattack on Garmin Disrupted More Than Workouts
Artikel von theregister.com, 27.07.2020: Garmin staggers back to its feet: Aviation systems seem to be lagging, though. Here’s why

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0, Kristopher Allison über unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen