Garmin, la multinationale américaine spécialisée dans le GPS et les systèmes de suivi de la condition physique, a été confronté la semaine dernière à une attaque au ransomware connu sous le nom de WastedLocker, qui a paralysé l’ensemble de ses services, y compris son service Garmin Connect, son site Web, son application mobile et les centres d'appels du service client. Mais les activités commencent à retrouver leur cours normal, le fabricant de montres intelligentes ayant obtenu la clé de déchiffrement pour récupérer ses fichiers informatiques rendus inutilisables pendant plus de 4 jours par les attaquants qui ont exigé le versement d'une rançon.
Jeudi dernier, un logiciel malveillant a chiffré les fichiers sur le réseau d'entreprise de Garmin, ce qui a eu pour effet de paralyser une grande partie des activités de l'entreprise. Les propriétaires des produits de l’entreprise n'ont pas pu utiliser ses services depuis jeudi. Certains employés de l'entreprise se sont rapidement rendus sur les comptes des médias sociaux de l’entreprise pour signaler que Garmin avait été victime d'une attaque par logiciel de rançon, qui exploite les vulnérabilités ou les mauvaises configurations pour s'infiltrer dans le réseau d'une entreprise.
Mais Garmin n’a pas admis la semaine dernière qu'il s'agissait d'un ransomware. Il a seulement confirmé à ses clients qu'il « connaissait une panne qui affecte Garmin Connect », le service utilisé par les propriétaires des smartwatches de l'entreprise pour suivre leurs performances de course et autres objectifs de santé et de forme physique, ainsi que FlyGarmin, des centres d'assistance clientèle et d'autres services. Cette panne mondiale a empêché des millions de clients de connecter leurs montres intelligentes et d'autres appareils à des serveurs qui fournissent les données de localisation nécessaires à leur fonctionnement.
Ce n’est que dans son message de lundi que l'entreprise a fourni une cause de la panne mondiale, et a admis que la panne qui a entraîné le retrait de la grande majorité de ses offres pendant plus de 4 jours était due à une attaque au ransomware. « Garmin Ltd. a été victime d'une cyberattaque qui a chiffré certains de nos systèmes le 23 juillet 2020 », a écrit la société dans un post de lundi matin. « En conséquence, nombre de nos services en ligne ont été interrompus, notamment les fonctions du site Web, le support client, les applications de gestion des clients et les communications de l'entreprise. Nous avons immédiatement commencé à évaluer la nature de l'attaque et à prendre des mesures correctives ».
Les données des clients et la fonctionnalité des produits Garmin non affectées par l’attaque
Depuis lundi, les choses reviennent progressivement à la normale. Sur une page de statut des services, on peut lire : « Nous sommes heureux d'annoncer que la reprise de Garmin Connect est en cours. Nous tenons à vous remercier de votre compréhension et de votre patience alors que nous rétablissons le fonctionnement normal ». Sur la page statut à ce jour, certains services ont passés au vert tandis que d’autres sont toujours fournis de façon "limitée". Garmin admet également certains retards dans les services de traitement de données : « Au fur et à mesure que les systèmes concernés seront rétablis, nous prévoyons des retards dans le traitement des informations en attente ».
Cependant, le fabricant de montres intelligentes a rassuré les clients en ce qui concerne des impacts potentiels de l’attaque sur leurs données : « Nous n'avons aucune indication que des données relatives aux clients, y compris les informations de paiement de Garmin Pay, aient été consultées, perdues ou volées ». La société a ajouté que « la fonctionnalité des produits Garmin n'a pas été affectée, si ce n'est la possibilité d'accéder à des services en ligne. Les systèmes touchés sont en cours de restauration et nous prévoyons de revenir à un fonctionnement normal dans les prochains jours ».
Cependant, Brett Callow, chercheur en cybersécurité chez Emsisoft, a déclaré à Sky News que « L'absence d'indication n'est pas une indication d'absence ». En effet, une menace croissante de cybercriminalité à laquelle sont confrontées les entreprises implique ce que l'on appelle le chiffrement post-intrusion, dans lequel les machines de la victime sont chiffrées après que les criminels aient volé des données, a rapporté Sky News. Bien que les informations volées ne puissent pas être divulguées après le versement d'une rançon, elles pourraient être détenues par les criminels et potentiellement utilisées pour cibler les personnes auxquelles elles appartiennent.
La bonne nouvelle est que certains clients ont déjà signalé que les services de Garmin semblent fonctionner à nouveau « partiellement », selon BBC News. Les pilotes qui utilisent flyGarmin pourront à nouveau télécharger, dans les prochains jours, les bases de données actualisées sur l'aviation, que les régulateurs de l'aviation tels que la FAA exigent des pilotes avant qu'ils ne puissent voler.
La rançon exigée a-t-elle été versée par Garmin ?
Même si Garmin ne mentionne pas de rançon dans son message, de nombreux rapports attribuent l’attaque au ransomware appelé WastedLocker, un programme qui brouille les données de la cible, et qui a été détecté pour la première fois dans la nature cette année, selon le cyber journaliste de la BBC Joe Tidy. Selon des sources de sécurité qui ont parlé à Sky News, WastedLocker serait développé par Evil Corp, un groupe de piratage basé en Russie et sanctionné par le Trésor américain en décembre dernier.
Pieter Arntz, chercheur chez malwarebytes, a écrit à ce propos: « En général, nous pouvons affirmer que si ce gang a trouvé une entrée dans votre réseau, il sera impossible de l'empêcher de chiffrer au moins une partie de vos fichiers. La seule chose qui peut vous aider à récupérer vos fichiers dans un tel cas est de disposer d'une technologie de retour en arrière ou d'une forme de sauvegarde hors ligne. Avec des sauvegardes en ligne ou connectées d'une autre manière, vous courez le risque que vos fichiers de sauvegarde soient également chiffrés ».
Les opérateurs des attaques par ransomware contactent généralement les victimes après que leurs ordinateurs aient été infectés pour leur dire qu'elles doivent transférer des fonds si elles veulent remettre les fichiers dans leur état d'origine. Selon les spécialistes de cybersécurité, chaque fichier chiffré par WastedLocker est livré avec son propre fichier séparé qui contient une demande de rançon personnalisée pour la cible spécifique. Par ailleurs, selon des rapports antérieurs, il avait été demandé à la société de payer 10 millions de dollars pour remettre ses systèmes en ligne.
Cependant, Sky News rapporte en citant des sources ayant eu connaissance de l’attaque et qui ont parlé sous le couvert de l'anonymat que Garmin n'avait pas directement effectué de paiement aux pirates informatiques. Garmin pourrait être exposé à des poursuites judiciaires si elle payait le gang criminel pour la restitution des données chiffrées.
En effet, les sanctions Trésor américain signifient que « les personnes américaines sont généralement interdites de s'engager dans des transactions » avec les cybercriminels. Si un tel paiement a été effectué par l'intermédiaire d'une tierce partie, elle pourrait également être couverte par les sanctions du Trésor, qui mettent en garde : « Les personnes étrangères peuvent faire l'objet de sanctions secondaires pour avoir sciemment facilité une ou plusieurs transactions importantes avec ces personnes désignées ».
Garmin ne s’est pas prononcé sur les rapports concernant le paiement de rançon. Un représentant de la société a déclaré à Sky News qu'ils n'avaient aucune information à partager concernant le paiement de la rançon. Il s’est contenté de dire à Sky News que « Nous nous efforçons de restaurer nos systèmes le plus rapidement possible et nous nous excusons pour la gêne occasionnée. Des mises à jour supplémentaires seront fournies dès qu'elles seront disponibles ».
La panne de Garmin souligne le fléau majeur qu'est devenu le ransomware depuis son apparition. L'année dernière, les ransomwares ont non seulement coûté 7,5 milliards de dollars au gouvernement américain, aux prestataires de soins de santé et aux établissements d'enseignement, selon un rapport de Emsisoft, mais les perturbations qui en ont résulté peuvent entraîner le refus de patients par les hôpitaux, une ingérence dangereuse dans les infrastructures essentielles et des difficultés pour des millions d'utilisateurs finaux. Lundi, Garmin a commencé à restaurer lentement les services de localisation. Garmin Connect est de retour avec des capacités limitées pour certaines fonctionnalités.
Sources : Garmin, Statut de Connect, Sky News
Et vous ?
Que pensez-vous de cette nouvelle attaque au ransomware ?
Garmin n'a pas directement effectué de paiement aux pirates informatiques. Quel commentaire en faites-vous ?
Selon vous, si Gamin n’a pas payé de rançon, comment s’est-il procuré une clé de déchiffrement ?
Voir aussi :
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Un ransomware oblige 3 hôpitaux à refuser tous les patients sauf ceux qui sont dans un état plus critique, ces hôpitaux ont vu la capacité d'utiliser leurs systèmes informatiques limitée par l'attaque
Baltimore : le retour à la normale après l'attaque par ransomware va coûter plus de 18 millions de dollars, l'addition pourrait être plus salée
La nouvelle attaque "Meow" a maintenant effacé près de 4 000 bases de données, ciblant les instances ElasticSearch, MongoDB et d'autres systèmes non sécurisés
Garmin, fabricant de montres intelligentes, obtient une clé de déchiffrement après une attaque au ransomware,
« Les systèmes touchés sont en cours de restauration »
Garmin, fabricant de montres intelligentes, obtient une clé de déchiffrement après une attaque au ransomware,
« Les systèmes touchés sont en cours de restauration »
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !