Tales incidentes ocurren en corporaciones de manera regular, pero es bastante raro que veamos consecuencias a gran escala: el ataque deshabilitó el sitio, el centro de llamadas, los servicios de sincronización de datos en la nube, una herramienta crítica para pilotos aficionados e incluso líneas de producción.
Fuentes de información:
- Anuncio oficial de la empresa.
- Publicación de Bleeping Computer con testimonios anónimos de empleados de Garmin.
- Revise la publicación ThreatPost con enlaces a informes sobre los problemas de fabricación de Taiwán.
- Artículo de ZDNet con ejemplos de fallas del servicio por parte del usuario.
- Noticias sobre Habré.
Los problemas con el acceso a los servicios de Garmin comenzaron el jueves 23 de julio, confirmaron los representantes de la compañía en Twitter al día siguiente. El sábado 25 de julio, el sitio web del fabricante subió con un breve informe del incidente. No revelar ningún detalle, no confirmar el ciberataque y describir la situación con una palabra corta y sin sentido Interrupción: "problemas técnicos".
La posición oficial de Garmin es la siguiente: los "problemas" afectan a todo el sistema de soporte técnico (teléfono, correo, chat). El servicio Garmin Connect no está disponible para dispositivos de fitness personalizados. Si no tiene suerte y acaba de comprar un reloj inteligente Garmin, ni siquiera podrá activarlo. Tampoco funciona la sincronización de datos, que es necesaria, por ejemplo, para visualizar estadísticas deportivas en la aplicación. El servicio de comunicación por satélite inReach se dañó parcialmente (la conexión en sí funciona, pero la sincronización de datos está rota).
La publicación no menciona la plataforma FlyGarmin, pero está completamente fuera de servicio. Este es un servicio profesional para pilotos aficionados, su negativa no permite descargar mapas nuevos, que a su vez no pueden solicitar un vuelo. El único punto positivo es que, según las estimaciones preliminares de Garmin, el pago y otros datos del usuario no se vieron afectados.
En general, los "problemas técnicos" resultaron ser complejos, a gran escala, que afectaron a casi todas las áreas de la empresa, desde el soporte hasta la producción. ¿Qué era? Por ahora, tenemos que confiar en los testimonios de los empleados de la empresa, que deseaban permanecer en el anonimato. Aparentemente, el problema fue causado por un ataque seguido de cifrado de datos. Bleeping Computer proporciona capturas de pantalla de archivos cifrados ...
… Y demandas de rescate, donde se indica el nombre de la empresa. Según una de las fuentes, los atacantes solicitaron $ 10 millones.
Idealmente, un ataque de ransomware no debería tener consecuencias a gran escala. Según algunas fuentes, el punto de entrada podría haber sido la producción en Taiwán y, en circunstancias normales, el ataque no debería haberse extendido a otras partes de la infraestructura. Pero esta es una conclusión demasiado simple en ausencia de información confirmada. Cerrar los servicios digitales de una empresa podría ser una medida de precaución. Además, estamos hablando de un ataque dirigido que podría haber ocurrido mucho antes de que se conociera. Los ciberdelincuentes probablemente tuvieron tiempo de prepararse: esto claramente no es un "ataque de área", ni el uso de un troyano común al azar.
El análisis detallado de incidentes de Garmin ayudará a otras empresas a responder de forma más eficaz a estos ataques. La rapidez y la extensión de dicha información depende de la víctima. Hasta ahora, solo hay un ataque similar, cuya información está disponible públicamente en detalle: extorsión de Maersk después de que sus sistemas fueran pirateados en 2017. En ese caso, toda la infraestructura de la red también se vio afectada, lo que requirió la reconfiguración de 4.000 servidores y 45.000 computadoras. El daño fue de unos 300 millones de dólares.
Los propietarios afectados de dispositivos Garmin se quejan de la dependencia de la infraestructura de red: sin servicios en la nube, es imposible incluso cambiar la esfera del reloj. Si esto está justificado es otra cuestión, pero nuestra dependencia de los servicios de red puede reconocerse como un hecho. Es evidente que sus propietarios necesitan invertir más para protegerse contra los ciberataques.
¿Qué más pasó?
Los enlaces del tweet anterior conducen a una interesante investigación de Google. La pregunta que se suponía que debía responder el experimento: si un usuario busca en Internet síntomas de intoxicación alimentaria, ¿da el resultado una inspección extraordinaria de los restaurantes que visitó? Resulta que hay un beneficio: el control de calidad en los restaurantes sospechosos reveló violaciones tres veces más a menudo de lo habitual. Por un lado, este es un ejemplo del uso de la tecnología para mejorar la seguridad. Por otro lado, demuestra las increíbles posibilidades de rastrear usuarios.
Los periodistas de Bleeping Computer escriben sobre las actividades de "ladrones nobles" anónimos que irrumpen en la infraestructura de la botnet de spam Emotet. Su infraestructura también se utiliza para redirigir a los destinatarios de spam a páginas maliciosas. Y son estos enlaces los que los piratas informáticos reemplazan con imágenes inocentes, cuidadosamente seleccionadas para que puedan engañar a quienes administran la botnet. En el vídeo de arriba se muestra cómo funciona la campaña "GIF en lugar de troyanos".
Otro ejemplo de actividad (aún dudosa) para corregir errores cibernéticos ajenos de la mano de los "buenos samaritanos". Las personas desconocidas eliminan las bases de datos de usuarios que se pusieron a disposición del público por error y, en lugar de ellas, queda una tarjeta de presentación con una palabra: "miau".
Actualizaciones sobre el evento principal de la última semana (ver el resumen anterior ). Los corresponsales de Reuters informan que alrededor de mil empleados de la empresa tenían acceso a la consola, que proporciona un control total sobre las cuentas de Twitter. Estos incluyen personas que ni siquiera formaban parte del personal, como representantes de grandes contratistas. Es posible que las reglas para acceder al panel de administración después del incidente deban revisarse.
El gran material de Ars Technica cuenta la historia de Adobe Flash, una vez una plataforma revolucionaria para la creatividad en red, que luego se convirtió en el principal talón de Aquiles de la computadora de cualquier usuario durante varios años. El reproductor Flash es oficialmente "todo" este diciembre.
Apple ofrece a los investigadores de seguridadiPhone preparado con una interfaz de depuración que facilitará la búsqueda de vulnerabilidades en el ecosistema cerrado de la empresa. Las restricciones para los participantes del programa son severas. Están obligados a notificar a Apple sobre los errores encontrados y tienen prohibido transferir el dispositivo a terceros.