Denis Legezo, senior security researcher di Kaspersky ha commentato l’attacco rivolto al noto sito Garmin:
“Ufficialmente, l’azienda ha commentato solo il “blackout” e l'”indagine” senza dare ulteriori dettagli sul caso che sono, invece, arrivati grazie alle foto dei dipendenti e ad altre fonti. Queste informazioni hanno dimostrato che l’incidente è il risultato di un attacco cryptolocker e che il malware è noto come WastedLocker. L’attacco ha impedito ai clienti dell’azienda di accedere ai dati relativi alla loro attività fisica così come ai piloti di ottenere gli aggiornamenti delle mappe. Sono state colpite anche alcune linee di produzione in Asia.
Tecnicamente parlando, WastedLocker è un ransomware mirato, il che significa che gli attaccanti selezionano le imprese da prendere di mira e non puntano ad utenti qualsiasi. Questo non è l’unico ransomware ad essere utilizzato secondo queste modalità. Uno schema simile è quello utilizzato da Maze e da altre famiglie di ransomware. Gli algoritmi di encryption utilizzati non sono diversi da altri ransomware: moderni e forti. I creatori del ransomware aggiungono il nome della società vittima nei messaggi di riscatto. Si tratta di messaggi con informazioni su come contattare i criminali attraverso servizi di posta elettronica sicuri e simili. È quindi abbastanza chiaro che i criminali conoscono perfettamente la loro vittima.
Monitoriamo decine di domini web relativi a questa famiglia di malware. Su molti di questi domini abbiamo registrato il server come parte di CobaltStrike – una piattaforma commerciale di test di penetrazione legittima ampiamente utilizzata anche dai criminali informatici. Questa e altre tecniche utilizzate dai criminali informatici sono abbastanza simili agli attacchi mirati più classici, che mirano al furto dei dati. Nel caso di WastedLocker, tuttavia, fino a questo momento non abbiamo rilevato nulla a parte il criptaggio e la richiesta di pagamento di un riscatto.”