Qui est derrière l'attaque de Garmin?

Le fabricant d'appareils portables et de traceurs GPS Garmin a subi un attaque de ransomware la semaine dernière, après qu'un gang de pirates informatiques a fait irruption dans son réseau interne et chiffré les serveurs de l'entreprise.

L'attaque a provoqué un pause de cinq jours, au cours de laquelle les utilisateurs craignaient d'avoir volé des données personnel avec le historique de géolocalisation des serveurs Garmin.

Une pratique habituelle

La pratique consistant à voler des données avant de crypter le réseau de la victime est devenue répandue aujourd'hui parmi les groupes de ransomwares, qui utilisent souvent des données volées pour obliger les victimes à payer la demande de rançon.

Cependant, trois sociétés de cybersécurité qui se sont entretenues avec ZDNet cette semaine ont déclaré que le groupe de pirates informatiques soupçonnés d'être à l'origine de l'attaque de Garmin est l'un des rares groupes à ne pas participer à cette pratique particulière et n'avoir aucun historique de vol de données client avant de crypter des fichiers

EVILCORP, le groupe qui a causé la chute.

Connu sous le nom MalCorp, ce groupe de hackers opère depuis la Russie, et deux des membres du gang ont été inculpés par des responsables américains en décembre dernier pour avoir exploité le botnet malveillant Dridex.

Cependant, alors que la pièce maîtresse du malware du groupe est la grande Botnet DridexLe groupe a également été lié à des opérations de ransomware.

Les premières incursions d'EvilCorp en la scène du ransomware s'est produite 2016 lorsque le groupe a commencé à distribuer les souches Locky et Bart, qu'il a envoyées en masse sur Internet, aux particuliers.

En 2018, EvilCorp a changé de forme au fil du temps et a lancé BitPaymerune nouvelle souche de ransomware qu'ils utilisaient exclusivement dans attaques contre des cibles de premier plancomme les entreprises, les réseaux gouvernementaux ou les organismes de santé.

Début 2020, EvilCorp a de nouveau évolué en remplaçant BitPaymer par une souche plus récente et mieux appelée ransomware. GaspilléCasier.

Cette nouvelle version de GaspilléCasier a été identifié comme le ransomware qui crypte le réseau Garmin, selon les employés de Garmin qui se sont entretenus avec ZDNet et de nombreux autres médias.

Pas de vol de données lors des précédentes attaques Bitpaymer et Wastedlocker

Hier, Garmin a officiellement admis avoir subi une attaque de ransomware dans des documents déposés auprès de la SEC 8-K et dans un communiqué de presse public. Une phrase particulière de  communiqué de presse a attiré l'attention.

"Nous n'avons aucune indication que des données client, y compris les informations de paiement Garmin Pay ™, ont été consultées, perdues ou volées" .

Depuis l'annonce officielle de Garmin hier, ZDNet a contacté des sociétés de cybersécurité connues pour fournir des services de réponse aux incidents pour les attaques de ransomware.

Lors d'entretiens cette semaine, des chercheurs en sécurité de Coveware, Emsisoft et Fox-IT ont déclaré à ZDNet qu'historiquement, n'ont pas vu de preuves de vol de données utilisateur lors des dernières attaques BitPaymer et WastedLocker.

"Bitpaymer n'avait pas d'historique d'exfiltration de donnéesBill Siegel, PDG de Coveware, une entreprise qui répond aux incidents et gère même les négociations de paiement des rançongiciels, a déclaré à ZDNet.

"Dans les affaires WastedLocker dans lesquelles nous avons été impliqués, nous n'avons vu aucune indication de données volées», nous a confié Fabian Wosar, directeur technique d'Emsisoft.

"Nous ne les avons pas vus [EvilCorp] voler des données clients pour les utiliser spécifiquement pour forcer les victimes à payer »Frank Groenewegen, l'expert en chef de la sécurité de Fox-IT, a également déclaré à ZDNet lors d'un appel téléphonique.

Cependant, Groenewegen n'exclut pas le fait qu'une violation de données a eu lieu, d'une façon ou d'une autre.

Evilcorp a volé des données utilisateur dans le passé, il y a longtemps

Mais Groenewegen avertit que si EvilCorp n'a pas visiblement volé des données à utiliser à des fins d'extorsion lors des précédentes attaques BitPaymer et WastedLocker, cela ne signifie pas qu'ils ne le font pas pour le moment ou qu'ils ne le feront pas à l'avenir.

Le cadre de Fox-IT dit que EvilCorp est plus que capable d'extraire des données, se référant à des attaques plus anciennes.

"Avant de commencer à se concentrer sur la mise en œuvre de ransomwares, utilisé pour cibler les processeurs de paiement voler des données dcartes de débit / créditdit Groenewegen. Le gang EvilCorp s'est alors retourné et vendu ces données dans les forums de cardage à but lucratif.

Cependant, sur la base de ce que les trois sociétés de sécurité ont dit à ZDNet, actuellement, Les données utilisateur de Garmin semblent sécurisées, selon le modus operandi passé du groupe.

Bien sûr, cet article n'est pas définitif dans son évaluation, et n'est qu'une analyse spéculative de l'incident Garmin basée sur les attaques précédentes d'EvilCorp et l'expérience de ceux impliqués dans les réponses aux incidents respectifs.

source: zdnet