Τελικά η Garmin κατάφερε να αποκτήσει το κλειδί αποκρυπτογράφησης για να ανακτήσει τα αρχεία της που είχαν κρυπτογραφηθεί μετά από μια επίθεση με το WastedLocker Ransomware.
Στις 23 Ιουλίου 2020, η Garmin σταμάτησε να λειτουργεί σε παγκόσμιο επίπεδο και οι πελάτες της δεν μπορούσαν να έχουν πρόσβαση στις υπηρεσίες Garmin Connect, flyGarmin, Strava, inReach.
Οι επιτιθέμενοι ζητούσαν 10 εκατομμύρια δολάρια από την εταιρεία για να τους παραχωρήσουν ένα κλειδί αποκρυπτογράφησης.
Μετά από μια τετραήμερη διακοπή, η Garmin ξαφνικά ανακοίνωσε ότι άρχισαν να αποκαθιστούν τις υπηρεσίες κάτι που έκανε πολλούς να υποπτευθούν ότι πλήρωσε τα λύτρα για να αποκτήσουν τα κλειδιά αποκρυπτογράφησης. Ωστόσο, η εταιρεία αρνήθηκε να αναφέρει κάτι.
Σήμερα, η BleepingComputer απέκτησε πρόσβαση σε ένα πακέτο που δημιουργήθηκε από το IT τμήμα της Garmin για την αποκρυπτογράφηση ενός workstation και, στη συνέχεια, την εγκατάσταση λογισμικού ασφαλείας στο μηχάνημα.
Το WastedLocker είναι ένα ransomware που στοχεύει επιχειρήσεις και δεν έχει αδυναμίες στον αλγόριθμο κρυπτογράφησης. Αυτό σημαίνει ότι δεν υπάρχει κάποιος δωρεάν αποκρυπτογράφος.
Έτσι για να αποκτήσει ένα λειτουργικό κλειδί αποκρυπτογράφησης, η Garmin θα πρέπει να έχει πληρώσει τα λύτρα στους επιτιθέμενους. Δεν είναι γνωστό το πόσα πλήρωσαν.
Το πακέτο αποκατάστασης που απέκτησε η BleepingComputer συμπεριλαμβάνει διάφορους εγκαταστάτες λογισμικού ασφαλείας, ένα κλειδί αποκρυπτογράφησης, έναν αποκρυπτογράφο για το WastedLocker και ένα script που μπορεί να τρέξει όλα τα παραπάνω.
Το script περιέχει μια χρονική σήμανση ‘25/07/2020‘, το οποίο δείχνει ότι τα λύτρα πληρώθηκαν στις 24 ή στις 25 Ιουλίου.
Ο αποκρυπτογράφος που συμπεριλαμβάνεται στο πακέτο περιέχει αναφορές τόσο στην εταιρία κυβερνοασφάλειας Emsisoft όσο και στην εταιρεία παροχής υπηρεσιών διαπραγμάτευσης ransomware, Coveware.
Όταν η BleepingComputer επικοινώνησε με την Coveware, ανέφεραν ότι δεν σχολιάζουν περιστατικά ransomware που αναφέρονται σε μέσα ενημέρωσης.
Σε παρόμοια απάντηση έδωσε και η Emsisoft που ανέφερε ότι δεν μπορεί να σχολιάσει, αλλά ότι δημιουργούν εργαλεία αποκρυπτογράφησης και δεν εμπλέκονται σε πληρωμές λύτρων.
Η Emsisoft δημιουργεί συνήθως προσαρμοσμένους αποκρυπτογραφητές ransomware όταν τα εργαλεία που παρέχονται από τους επιτιθέμενους περιέχουν σφάλματα ή εάν οι εταιρείες ανησυχούν ότι μπορεί να περιέχουν backdoors.
“Εάν τα λύτρα έχουν πληρωθεί, αλλά ο αποκρυπτογράφος που παρέχεται από τον εισβολέα είναι αργός ή ελαττωματικός, μπορούμε να εξαγάγουμε τον κωδικό αποκρυπτογράφησης και να δημιουργήσουμε μια προσαρμοσμένη λύση που αποκρυπτογραφεί έως και 50% ταχύτερα με μικρότερο κίνδυνο ζημιάς ή απώλειας δεδομένων”, αναφέρει η Emsisoft σε μια σελίδα της.