Garmin ConnectはWastedLockerランサムウェア攻撃でシャットダウン　1000万ドル要求か?

2020.07.262020.07.27

この記事は約6分で読めます。

Garmin Connectは7月23日から繋がっていない。

以下の記事でランサムウェア攻撃ではないかという記事を書いていたが、事態の全貌があきらかになってきた。

Garmin Connectはサーバーダウンから数日間のメンテナンス期間に突入か?

Garmin Connectが世界中で使えなくなっていることはすでに記事にしている。だが、多くのユーザーが困っているので続報を報告。 Gaminのサービス全般のダウン同社は現在、攻撃の余波に対処するために数日間のメンテナンス期間を計画し...

このランサムウェア攻撃に対して、情報セキュリティのウェブサイトであるBleepingコンピュータはハッカーが1000万ドルを要求していると報告しているが実際には確認されていない。

まあ、実際要求されていたとしても、口外する訳はないけど。

詳細について紹介したい。

Garminの新たなメッセージ
1. WastedLockerランサムウェア攻撃を確認
2. ロシアのサイバー犯罪グループEvil Corp

Garminの新たなメッセージ

GarminのツイッターではGarmin Connect停止に関するFAQを作成したことを報告している。

We want to extend our sincerest apology for the inconvenience the outage has caused for our customers. We hope this FAQ answers some of the questions you have: https://t.co/e3lgtpZ1Ci

— Garmin (@Garmin) July 25, 2020

停止によりお客様にご迷惑をおかけしましたことを深くお詫び申し上げます。このFAQがあなたが持っているいくつかの質問に答えることを願っています。

FAQの一部を紹介すると

停止中にGarmin Connectの顧客データが失われましたか？

停止中はGarmin Connectにアクセスできませんが、停止中にGarminデバイスから収集されたアクティビティと健康およびウェルネスデータはデバイスに保存され、ユーザーがデバイスを同期するとGarmin Connectに表示されます。

停止の結果、データに影響がありましたか？

Garminは、この停止がアクティビティ、支払い、その他の個人情報などのデータに影響を与えたことを示していません。

と、なっている。

Garminからは久々の更新メッセージだ。ユーザーデーターは問題ないと言っているが、ユーザーのデータも暗号化されていた場合にはどうなんだろう?

WastedLockerランサムウェア攻撃を確認

Photo by Muhannad Ajjan on Unsplash

Garminのインシデント対応に近い情報筋とGarminの従業員が、WastedLockerランサムウェアがGarminを攻撃したことを、情報セキュリティのウェブサイトBleepingComputerが確認している。

Garminの社員は、木曜日の朝に会社に到着したときに初めて攻撃の事実を知ったという。

GarminのIT部門が、VPNで接続された自宅のコンピュータを含むデバイスが暗号化されていたため、ネットワーク上のすべてのコンピュータをリモートでシャットダウンしようとした。

それができなかったため、従業員はネットワーク上のアクセス可能なコンピュータをすべてシャットダウンするように指示されたという。

Source: BleepingComputer

共有された暗号化されたファイルがあるGarminコンピューターの写真では、ファイル名に.garminwastedという拡張子が付加され、ファイルごとに身代金のメモも作成されていることがわかる。

ガーミンの身代金ノート
出典：BleepingComputer

実際に、WastedLockerランサムウェアのサンプルによって作られたGARMIN宛の身代金ノートはこんな感じだ。

この全社的なシャットダウンの一環として、暗号化されている可能性を防ぐために、データセンターにホストされているすべてのデバイスをGARMINがハードシャットダウンしたと従業員は話している。

この全社的なシャットダウンが原因で、Garmin Connectやその他のコネクテッドサービスが世界的に停止した訳だ。

ロシアのサイバー犯罪グループEvil Corp

Photo by Bermix Studio on Unsplash

今回の犯人ではないかと思われているのは2007年から活動しているロシアに拠点を置くサイバー犯罪グループEvil Corp（別名Dridexギャング）だ。

別のランサムウェアであるDridexマルウェアの背後にあるグループであり、米国財務省によって認可されている。

身代金を支払うことが会社にとって最善の行動方針であるとガーミンが決定したとしても、そうすることは米国の制裁に違反することになってしまう。仮に支払っても、それで問題が解決することもないかもしれない。

このグループは、これまで1億ドル以上の金銭的損害を引き起こす犯罪を行っている。

ハッキンググループは最近戦術を一新し、新しいWastedLockerランサムウェアを企業を標的にした攻撃に転じている。

Evil Corpは、WastedLockerランサムウェアを使用してGarminのネットワーク上のシステムを暗号化したため、Garmin Connect、Garmin Explore、Garmin inReach、flyGarminを含む複数のサービスや製品が世界的に大幅に停止した。

先月、Evil Corpは、複数のフォーチュン500企業を含む米国の主要企業に対する数十件の攻撃の一環として、WastedLockerランサムウェアの展開をブロックされた。

しかし、彼らは、数十のハッキングされた米国の新聞ウェブサイトを通じて配信された悪意のあるSocGholish JavaScriptベースのフレームワークによって表示される偽のソフトウェア更新アラートを使用して、30以上の主要な米国の民間企業の従業員が使用するデバイスを危うくすることに成功している。

このように、このサイバー犯罪グループの活躍はすさまじい。

ここからは、私の勝手な想像だが、7月23日という日付も気になる。本当ならば東京オリンピックが開催されている期間ではないかな。GARMINを使用している選手も多いはず。

この日に初めて攻撃したのではなくて、もっと早くから侵入していたと考えるとどうだろう。怖い話ではあるが、そんなことも実際可能なはず。

実際の復旧が待たれるが、どうなるか分からない状況は変わらない。

今回の記事は、以下のサイトの情報です。

Garmin outage caused by confirmed WastedLocker ransomware attack

Wearable device maker Garmin today had to shut down some of its connected services and call centers following what the c...