Catégories
Attaque hyères informatique Ragnar Locker Ransomware Sécurité

Officiellement personne ne paie de rançon


Sécurité: les attaques de ransomwares ciblant Garmin et CarlsonWagonLit ont apparemment porté leurs fruits pour les cybercriminels. Dans les deux cas, les preuves suggèrent que les entreprises ont effectivement payé les rançons requis.

Officiellement personne ne paie de rançon

La société Garmin a été prise pour cible le 23 juillet par des attaquants utilisant le ransomware WastedLocker, un correctif apparu en mai 2020 et apparemment lié au groupe Evil Corp. L’attaque a complètement incarné les systèmes de l’entreprise, qui offrent des services GPS utilisés à la fois dans plusieurs appareils connectés et dans des applications utilisées dans l’aviation. La semaine dernière, Garmin a annoncé un « retour progressif aux opérations » après une longue semaine de silence radio.

Comme le rapporte Bleeping Computer, cela n’est pas dû au retour à la normale, notamment à la compétence et à la prévoyance des équipes informatiques de l’entreprise: le magazine britannique explique qu’il a pu accéder au logiciel de décryptage utilisé par les équipes Garmin pour récupérer ‘accès aux business units.

«Une fois que ce package de récupération a été déballé, il contient divers installateurs de logiciels de sécurité, une clé de déchiffrement, un déchiffreur WastedLocker et un script pour les exécuter», explique Bleeping Computer, notant que la clé de déchiffrement et le déchiffreur ont probablement été obtenus grâce au paiement d’une rançon.

Bleeping Computer rapporte également que le package comprend des références à Emsisoft et Coveware, deux sociétés américaines de cybersécurité spécialisées dans les ransomwares. Coveware fait une offre de soutien aux victimes de ransomwares, et une étude de Propublica l’année dernière a révélé que l’entreprise se positionnait souvent comme un médiateur dans les négociations entre victimes et attaquants. Emsisoft propose de développer un logiciel de décryptage pour les victimes qui ont réussi à récupérer la clé de cryptage de l’attaquant mais qui préfèrent éviter d’utiliser le logiciel de décryptage fourni par l’attaquant. Les deux sociétés ont donc probablement aidé Garmin à récupérer la clé de cryptage et à récupérer les machines affectées par les ransomwares.

Le montant exact de la rançon versée par Garmin n’est pas connu, mais selon des sources internes de l’entreprise citées par la presse américaine, les attaquants ont initialement demandé 10 millions de dollars.

Garmin a mis la main dans le pot de confiture, mais ils peuvent se réconforter en pensant qu’ils ne sont pas les seuls cette semaine. En fait, la société Carlson Wagonlit Travel (CWT) a également été ciblée sur les ransomwares: cette fois, il s’agit d’un groupe utilisant le ransomware RagnarLocker. Vendredi dernier, le groupe CWT s’est contenté d’évoquer « une attaque informatique » et a refusé de commenter le sujet tel que rapporté par LeMagIT.

Mais les chercheurs en sécurité ont découvert, jeudi 30 juillet, sur le service VirusTotal, un échantillon de produits de rançon RagnarLocker contenant une rançon spécifiquement adressée à CWT. Cela a été téléchargé sur le service de découverte le 27 juillet. Le chercheur de MalwareHunterTeam, JamesWT, qui a découvert l’échantillon, retrace également les transactions qui ont eu lieu à l’adresse bitcoin fournie par l’attaquant en rançon. Et cela indique avoir reçu un paiement de 414 bitcoins, soit 4,5 millions de dollars par. 28 juillet: sur la blockchain Bitcoin, toutes les transactions sont enregistrées et sont accessibles au public.

Catégories
Attaque informatique Non classé Ransomware Sécurité

Garmin souffre d’une attaque massive de ransomware, plusieurs services en panne!

Garmin a dû fermer plusieurs de ses services, entravé par une attaque massive de ransomware. L’entreprise annonce plusieurs jours de disruption, le temps de reprendre les choses en main. Le service Garmin Connect en particulier est en panne. En conséquence, de nombreux utilisateurs des montres connectées de la marque ont du mal à synchroniser leurs données de suivi.

Garmin a subi une attaque de ransomware dévastatrice le 22 juillet. Si vous possédez une montre intelligente de marque et que vous rencontrez des difficultés pour synchroniser vos données avec Garmin Connect, vous n’êtes pas seul. Le service fait partie de ceux affectés par la cyberattaque. Sur les réseaux sociaux, de nombreux utilisateurs se disent accueillis par un message d’erreur indiquant que le service est temporairement en panne, ce que la marque confirme dans un communiqué. À partir de ce moment, le problème n’est toujours pas résolu. Les conséquences pour l’entreprise et ses clients devraient durer plusieurs jours.

Toutes les smartwatches Garmin sont concernées
«Nos serveurs sont actuellement hors service pour maintenance, ce qui affecte Garmin Connect Mobile, notre site Web et Garmin Express. Nous faisons de notre mieux pour résoudre le problème le plus rapidement possible ». L’attaque concernant les serveurs de la marque, toutes les montres connectées à Garmin sont potentiellement affectées. L’arrêt affecte également les centres d’appels de la marque, qui ne peuvent pas recevoir d’appels, d’e-mails ou de messages via leur chat en ligne.

Garmin se tait sur les causes de cette énorme panne de courant, cachée sous couvert de maintenance. Mais selon les indiscrétions des salariés de la marque, il est actuellement en cours de fonctionnement de produits en vrac appelés WastedLocker, information confirmée par Phil Stokes, un chercheur en sécurité au sein de la société SentinelOne.

On pense que le ransomware WastedLocker était à l’origine de l’incident
Ce n’est pas la première fois qu’un ransomware détruit une entreprise ou une institution. En août 2019, de tels malwares ont attaqué plus d’une centaine d’hôpitaux français. En décembre de cette année-là, une cyberattaque s’est écrasée en raison du réseau de ransomware New Orleans. Mais récemment, c’est WastedLocker qui est l’essentiel de la conversation. Ce correctif relativement nouveau a été créé par Evil Corp, un formidable groupe de cybercriminels russes. Ce malware est répandu depuis mai 2020 et a déjà affecté des entreprises de plusieurs secteurs, y compris de grandes entreprises du Fortune 500 aux États-Unis. Garmin également connu pour son GPS et ses Dashcams ont été ajoutés à la liste. Nous ne connaissons pas encore l’ampleur des dégâts que cette cyberattaque a causés à l’entreprise.

Selon le site Web ZDnet, la «maintenance» annoncée par la marque devrait se poursuivre jusqu’à ce week-end, selon une note interne de Garmin qui aurait été divulguée après avoir été partagée avec ses partenaires à Taiwan.

Centre d’assistance Garmin

GARMIN FRANCE SAS
Immeuble Le Capitole
55, avenue des Champs Pierreux
92012 Nanterre Cedex
France

Telephone 01 55 17 81 81

YAMAHA AUDEMAR HYERES MOTOS
22 AVENUE EDITH CAVELL
HYERES, 83400

SPORTBAZAR SARL
26 RUE NICEPHORE NIEPCE
HYERES, 83400

FOULEES HYERES
1 AVENUE DU 9 MAI
HYERES, 83400

FOULEES HYERES
53 AVENUE GAMBETTA
HYERES, 83400

OLDIS Espace Culturel
265 AVENUE MARIO BENARD
HYERES, 83400

HYERDIS
265 AVENUE MARIO BENARD
HYERES, 83400

YAMAHA MOTOR FRANCE
ZONE DE CARENAGE
HYERES, 83400

OCEANIS 510/SERENITE LOCATION
AVENUE DE L’AEROPORT
HYERES, 83400

MECA MAN
1860 CHEMIN DU ROUBAUD
HYERES, 83400

TOP FUN SARL
ZA DU PALYVESTRE
HYERES, 83400

MIRABEAU MARINE
1892 AVENUE DE L’AEROPORT
HYERES, 83400

JOSE MARINE SARL
1892 AVENUE DE L AEROPORT
HYERES, 83400

MAS MARINE
2235 AVENUE DE L’AEROPORT
HYERES, 83400

EURO VOILES
2315 AVENUE DE L’AEROPORT
HYERES, 83400

POCHON HYERES
14 AVE DU DOCTEUR ROBIN
HYERES, 83400

SOMAT – XP VOILES
63 RUE DU DR ROBIN
HYERES PORT, 83400

VOILES RUSSO SOMAT SA
63 AVENUE DU DR ROBIN
HYERES, 83400

QUINCAILLERIE MARITIME MATEO
36 AVENUE DU DOCTEUR BOBIN
HYERES, 83400

GAPORT
745 ROUTE DES VIEUX SALINS
LES SALINS D HYERES, 83400

PORTLAND5 km
747 RUE DES VIEUX SALINS
HYERES, 83400

Sources:

Garmin souffre d’une attaque massive de ransomwares
Phonandroid

Suspicion de ransomware chez Garmin
LeMondeInformatique

Garmin rencontre un arrêt majeur
Le journal du geek

Garmin cible les attaques de ransomwares
KultureGeek

Garmin Connect indisponible pendant plusieurs jours
Citron Presse

Les services de Garmin s’effondrent après une attaque
ZDNet France