Hvorfor betaler Garmin løsesum på 63 millioner kroner?

Mit Garmin ur virker ikke.

Hvis har et Garmin ur, har man siden d. 23 juli oplevet problemer med at synkronisere sine data med Garmin online services.

Garmin ramt af Ransomware angreb:

D. 23 juli går der blandt IT sikkerhedsfolk rygter om, at Garmin har været udsat for et Ransomware angreb, hvor angriberne forlanger 63 mio. kroner ($ 10 mio) for nøglen, der kan låse Garmin krypterede filer op igen.

På Garmin’s danske hjemme side bekræftes angrebet:

Garmin Ltd. var offer for et cyberangreb, der krypterede nogle af vores systemer den 23. juli 2020. Som et resultat blev mange af vores onlinetjenester påvirket, inklusiv hjemmesidefunktioner, kundesupport, forbrugerhenvendte applikationer og firmakommunikation.

Hvad blev Garmin udsat for?

Ifølge Bleeping Computer var det et WastedLocker krypterings angreb, der i følge NCC Group først blev set i maj 2020, og som menes at komme fra Evil Corp. Evil Corp betegnes som en Russisk hacker gruppe.

Hvordan programmet er kommet ind i Garmin IT for at kryptere data, vides endnu ikke. Men ofte sker det ved, at man modtager en email med et link, eller på anden vis får en bruger til at klikke. Herefter installeres programmet og krypterer på meget kort tid “alt hvad den ser”.

Evil Group er kendt for stor tålmodighed og vedholdenhed. Der går rygter om, at de har brugt 6 måneder på at få fat i et password, der kunne “slukke” for sikkerheds værktøjer i en virksomhed, de havde udset til angreb.

Har Garmin betalt angriberne?

Fire dage efter angrebet fortæller Garmin® i en pressemeddelse , at de er ved at genskabe data. Hjemmesiden Bleeping Computer, en brugerdrevet hjemmeside med mere en 700.000 medlemmer, oprettet af Lawrence Abrams i 2004, har været i dialog med interne IT medarbejdere hos Garmin, og fået skærmdumps af de krypterede filer på PC’er. Det var også interne Garmin ansatte, der fortalte at løsesummen var på $ 10 mil.

På de skærmdumps som interne brugere har delt med Bleeping Computer, er de-krypterings filen dateret 25 juli 2020.

Det mistænkelig opstår da Garmin 4 dage efter oplyser at nu begynder de og genskabe deres services. Garmin har dog ikke bekræftet, at de har betalt løsesummen.

Hvorfor betaler Garmin løsesummen?

Det kan jo kun være mine egne spekulationer, men måske har de ikke haft en backup, der kunne genskabe data tilfredsstillende. Og så har de vurderet, at den hurtigste og billigste måde at bringe deres services online igen, har været at betale de 63 mil kroner, for derefter og modtage de-krypterings nøglen.

Generelt bør man ikke betale løsesum, da man jo dermed støtter kriminalitet, men det er jo en ledelsesbeslutning, og med de nævnte beløb, nok en bestyrelsesbeslutning.

I Garmins tilfælde kan det ende med at være ulovligt, da man ikke må lave forretning med firmaet Evil Corp ifølge amerikansk lovgivning. USA har udsat en dusør på $ 5 mio for hjælp til pågribelsen af Maksim V. Yakubets, der menes at være leder af Evil Corp.

Canon også ramt

6 august 2020, kom det frem at Canon USA også skulle være ramt af et Ransomware angreb i følge Bleeping Computers

7 gode råd til at reducere risikoen ved Ransomware angreb:

  1. Uddannelse: Kontinuerlig bruger uddannelse og fokus på IT sikkerhed.
  2. Opdatering: Sørg for at alle dine enheder er opdateret med de seneste sikkerheds opdateringer, og ikke bare Microsoft “Patch Tuesday”, men alt software. Jeg bruger selv Qualys Patch Managementved større IT installationer.
  3. End Point Security: Brug et anerkendt End Point Security produkt. AV-test Business users er et godt sted at se en uvildig sammenligning af produkter.
  4. Mail sikkerhed: Tilkøb sikkerheds services til mail, så alle email skannes inden de leveres til brugeren. O365 tilbyder Advanced Email Threat Protection
  5. Backup: Sørg for at du har både lokal backup og ekstern backup. Husk at teste at du kan bruge din backup til at genskabe data. Husk hvis du bruger en lokal NAS, at du sikre den mod Ransomware angreb, det gøres via rettigheder.
  6. Sikre Backup mod Ransomware: Hvis du bruger en lokal NAS, skal du sikre den mod Ransomware angreb. 
    Rasmus Laursen Teamleader – IT operations, M Networks har dette forslag: ”Benyt en lokal administrator fra NAS’en når man tilgår sharet. Ingen domæne admin må have adgang. Backup klienten/serveren bør køre på en ikke domain joinet VM/Server. Du bør ikke installere unødvendige apps på NAS’en”
  7. Remote adgang: Hav ALDRIG en Windows Remote Desktop direkte tilgængelig direkte på internettet. Hvis der er behov for adgang til interne data udefra, bør det ske via VPN

Teknisk reference materiale:

  • Vil du holde dig opdateret med seneste nyt inden for IT sikkerhed?

    Du får tips og rådgivning til IT-sikkerhed direkte i din indbakke hver anden fredag.

    Schmitto A/S vil bruge den info som du har givet til og udsende email med nyheder, tips og tricks, invitationer til webinar og måske også et godt tilbud