Skip to main content

Sobre el ataque de WastedLocker a Garmin



Desde que se hizo público el ataque a Garmin he estado pendiente de cómo reacciona la compañía y la industria de seguridad de la información ante el ataque sufrido por esta compañía que es reconocida por sus aparatos de GPS y relojes para ejercicios. Twitter ha sido mi mayor fuente de información y me he dado cuenta que no soy el único interesado.


No me cabe duda de que los ataques de ransomware teledirigidos se han convertido en una gran amenaza para las compañías y los encargados de proteger los sistemas, el equipo azul.

Estos incidentes de seguridad los analizo con información pùblica buscando identificar:
  1. Controles preventivos que tenía la organización afectada
  2. Su estrategia de comunicación durante y posterior al evento
  3. El manejo que tuvieron con los atacantes incluyendo compañías consultoras contratadas
  4. Estrategia de recuperación ante el ataque, ya sea pagando o recuperándose de respaldos
  5. Detalle técnico de los TTPs (tactics, techniques and procedures) utilizados por los atacantes para vulnerar a la víctima.
  6. Mejoras a los planes de seguridad post recuperación
Abajo encontrarán lo que tengo hasta ahora:



Tema

Info obtenida

Referencias

Controles preventivos que tenía la organización afectada 

No he logrado obtener info

No hay

Su estrategia de comunicación durante y posterior  al evento

Realizaron un comunicado el 27-jul-20 haciendo referencia a que el ataque inició 23-jul-20.

Es entendible que no presenten más información en vista a que están en el medio de la gestión del ataque

Businesswire

Manejo con atacantes

No se tiene información sobre quiénes manejaron las negociaciones en nombre de Garmin

No hay 

Estrategia de recuperación ante ataque

Pagaron (se especula que 10 millones USD), recibieron vacuna del atacante y luego contrataron servicios de  Emsisoft y Coveware para limpieza.


El paquete de recuperación distribuido por la compañía según BleepingComputer incluye: Nessus, MalwareBytes y SentinelOne entre otros.

BleepingComputer

TTPs de atacantes 

Existen pocos enlaces con una descripción detallada del malware. Pero según los enlaces compartidos se tiene:

  • Requiere permisos administrativos

  • Realiza elevación de privilegios por medio de DLL hijacking

  • Cada archivo es cifrado con una llave diferente

  • Para cada archivo cifrado se creó uno con extensión .garminwasted_info

  • Utiliza correctamente RSA y AES (romper cifrado sin llave de atacante es imposible)

Mayor información en enlaces de al lado.

NCCGroup

Kaspersky

Malpedia

Mejoras a los planes de seguridad post recuperación

No he encontrado información

No se tiene.




No es práctico obtener IOCs para llevarlos a su empresa para protegerse contra este tipo de ataques porque al ser ataques desarrollados de manera específica es muy improbable que contar con IOCs pueda ser de ayuda para prevenir este tipo de ataques.

Lo que nos queda compañeros defensores es tratar de aprender sobre los TTPs usados para luego buscar cómo nuestras herramientas de seguridad en capas nos pueden ayudar a prevenir o reaccionar mejor ante este tipo de ataques.


Saludos,

Sebastián

Comments

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: ...

Creando tu SOC - Monitoreo de Seguridad - Parte 1 de n

El SOC (Security Operations Centers) puede significar cosas diferentes para diferentes organizaciones.  Entre las opciones tenemos: 1. La gente, procesos y tecnología responsables de los procesos de Gestión de Monitoreo de Seguridad y Gestión de Incidentes dentro de un Programa de Seguridad .  2. El grupo responsable de la seguridad física (cámaras de vigilancia, guardias de seguridad, control de acceso físico) 3. El grupo responsable por dar atención inmediata dentro de un centro de operaciones de soporte técnico. Para efectos de este artículo, la definición que usaremos es la primera . En el proceso de monitoreo de seguridad se realizan las siguientes actividades: 1. La identificación y colección de las bitácoras de los eventos dentro de la infraestructura que son de interés para proteger a los sistemas. 2. La creación y gestión de procedimiento de monitoreo de dichos eventos. 3. La entrega de eventos de seguridad comprabados como incidentes al proceso de Gestión de Inciden...

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Caden...