Análisis del ransomware dirigido WastedLocker

Nuestros expertos realizan un extenso análisis técnico del sospechoso principal en el ataque de ransomware a Garmin.

A finales de julio del 2020, los sitios webs especializados en tecnología se llenaron de artículos sobre Garmin porque varios de sus servicios, incluidas la sincronización de dispositivos y las herramientas para pilotos, se desactivaron. La falta de información exacta hizo que todos lanzaran varias teorías. Por nuestra parte, decidimos esperar para recopilar información concreta antes de hablar del tema.

En su comunicado oficial, Garmin confirmó que había sido víctima de un ciberataque que interrumpió sus servicios online y cifró algunos sistemas internos. La información disponible mientras escribimos estas líneas indica que los atacantes usaron el ransomware WastedLocker. Nuestros expertos han realizado un análisis detallado de este y estas son las principales conclusiones.

 

El ransomware WastedLocker

WastedLocker es un ejemplo de ransomware dirigido (malware programado para atacar una empresa en concreto). El mensaje de rescate se refiere a la víctima por su nombre y todos los archivos cifrados llevaban la extensión adicional .garminwasted.

El plan criptográfico de los cibercriminales apuntaba a la misma conclusión: los archivos se cifraron mediante algoritmos AES y RSA, los cuales suelen combinar los creadores de ransomware. No obstante, en este caso se emplea una clave RSA pública para cifrar los archivos, en lugar de generar una única en cada infección. Es decir, si esta modificación del ransomware se usara contra diferentes objetivos, el programa para descifrar los datos sería de uso general porque también tendría que haberse usado una clave privada.

Además, el ransomware tiene estas características que resultan un tanto curiosas:

  • Da prioridad al cifrado de datos, es decir, los cibercriminales pueden especificar un directorio o archivos para cifrarlos primero. Este hecho maximiza los daños en el caso de que los mecanismos de seguridad detengan el proceso de cifrado antes de que se complete,
  • Cuenta con soporte para el cifrado de datos en recursos remotos.
  • Tiene privilegios de control y emplea el secuestro de DLL para aumentar sus privilegios.

Encontrarás un análisis detallado del ransomware en nuestro artículo ‘WastedLocker: technical analysis’ de Securelist.

¿Cómo va todo con Garmin?

Según el comunicado actualizado de la empresa, los servicios ya vuelven a funcionar, aunque la sincronización de datos puede ser lenta y limitada en algunos casos concretos, lo cual es comprensible: los dispositivos que no pudieron sincronizarse con los servicios en la nube ahora están conectando a la vez con los servidores de la empresa, incrementando la carga.

Garmin señala que no hay pruebas de que nadie haya obtenido acceso sin autorización a los datos de los usuarios durante el incidente.

Cómo protegerse de dichos ataques

Los ataques de ransomware dirigidos a empresas han venido para quedarse y, por ello, te dejamos unas recomendaciones estándar para protegerte de ellos:

  • Ten el software actualizado siempre, en especial el sistema operativo (muchos troyanos explotan vulnerabilidades conocidas).
  • Utiliza un protocolo de escritorio remoto para denegar el acceso público a los sistemas de la empresa (o, si es necesario, usa una VPN).
  • Capacita a tus empleados en cuestiones básicas de ciberseguridad. A menudo, lo que permite que los ransomware troyanos infecten las redes corporativas son las tácticas de ingeniería social.
  • Emplea lo último en soluciones de seguridad con tecnologías antiransomware. Nuestros productos detectan WastedLocker y previenen la infección.
Consejos