Op 23 juli om 11:12 plaatste het Twitteraccount Garmin India een bericht dat Garmin te maken had met een storing. In het bericht gaf Garmin India aan dat dit kwam door onderhoud aan de servers. Gebruikers van Garmin-producten merkten al iets eerder op dat Garmin Connect niet/slecht bereikbaar was en dat activiteiten niet meer automatisch werden gesynchroniseerd met apps van derden, zoals Strava, Runkeeper en TrainingPeaks. Na het bericht van Garmin India volgden al snel meerdere Garmin Twitteraccounts met een soortelijke melding. Daarna was het een aantal dagen stil. Online werd al druk gespeculeerd. Zou Garmin te maken hebben met een cyberaanval? Ransomeware? Wannacry? Russische hackers? Uiteindelijk bleken deze speculaties deels gegrond. Garmin heeft enkele dagen last gehad van een WastedLocker ransomware-aanval. Op 27 juli werden de aangetaste Garmin-services weer opnieuw opgestart. Volgens het bedrijf zijn er geen tekenen dat er gebruikersgegevens zijn gestolen. Of het bedrijf losgeld heeft betaald aan de hackers is vooralsnog onbekend.
Niet alleen Garmin Connect geraakt
De ransomware-aanval raakte alle afdeling van het bedrijf, waaronder de klantenservice, luchtvaarttak, Garmin.com, klantenservice en Connect. Hierdoor kon het bedrijf ook tijdelijk geen e-mails, chats of telefoontjes ontvangen. De luchtvaarttak van Garmin, onder de naam FlyGarmin, werd hard geraakt. Piloten maken namelijk gebruik van de Garmin Pilot Apps voor het indienen van vluchtplannen. Voor de gebruikers van de Garmin sporthorloges en fietscomputers was het vooral vervelend dat de synchronisatie van activiteiten naar bijvoorbeeld Connect, Strava en TrainingPeaks tijdelijk niet werkte.
Wat is een ransomware-aanval?
Ransomware wordt in het Nederlands ook wel gijzelsoftware genoemd. Het is een vorm van malware (malicious software, kwaadaardige software) en wordt gebruikt om computerbestanden en/of hele systemen te vergrendelen. Het wordt al jaren ingezet als groot chantagemiddel op het internet. De kwaadaardige software komt op een computer, server of geheel netwerk terecht doordat iemand bijvoorbeeld een verdachte bijlage in een mail heeft geopend, nep programma’s of verkeerde software heeft geïnstalleerd. Deze malware blokkeert de computer en (een deel van de) bestanden die erop staan. Om de computer en bestanden weer te ontgrendelen moet er een betaling worden verricht. Nadat de betaling is voltooid, ontvangt de betaler een code (private key/digitale sleutel) waarmee de computer weer vrijgegeven kan worden. Nadeel is dat na betaling niet altijd een code wordt gegeven door de hacker en dat de software gewoon om de computer blijft staan, waardoor het gewoon weer geactiveerd kan worden.
Hackers soms maandenlang in het netwerk
In sommige gevallen bevinden hackers zich voor lange periode al in het netwerk voordat zij toeslaan. Zo zaten de hackers die de Universiteit Maastricht aanvielen met ransomware al ruim twee maanden in het netwerk van de universiteit. Ze hebben het netwerk eerst goed in kaart gebracht voordat zij de systemen vergrendelden met gijzelsoftware. Uiteindelijk heeft de universiteit de 30 Bitcoin (toen €200.000) aan losgeld betaald om de systemen weer vrij te geven. Hoe lang de hackers in de systemen van Garmin zaten is vooralsnog onbekend.
Garmin had last van WastedLocker ransomware
In het weekend bevestigde een anonieme Garmin-medewerker aan Bleeping Computer dat Garmin last had van een WastedLocker-ransomware aanval. De aanval werd voor het eerst onder de medewerkers op donderdagochtend 22 juli 2020 opgemerkt. De IT-afdeling van het bedrijf heeft als reactie geprobeerd om alle computers op het netwerk uit te schakelen terwijl de ransomware bezig was om de apparaten te versleutelen. Het ging hier zelfs om de computers die via het thuisnetwerk via VPN waren verbonden met Garmin.
De IT-afdeling kon niet tegen de WastedLocker ransomware op. Medewerkers moesten elke computer die toegang had tot het netwerk direct afsluiten. Op een foto die met Bleeping Computer werd gedeeld zie je goed dat bestanden op een geïnfecteerde computer, aangesloten op het Garmin-netwerk, werden versleuteld. Aan de bestandsnamen werd .GARMINWASTED toegevoegd. Dit betekent grofweg dat er voor dat bestand een losgeldnota is aangemaakt. De IT-afdeling heeft wel alle apparaten die in het datacenter werden gehost afgesloten om te voorkomen dat deze werden versleuteld door WastedLocker. Hierdoor werden alle Garmin services onbereikbaar voor klanten.
Op de onderstaande screenshot zie je een echt screenshot van een medewerker van Garmin tijdens de infectie met WastedLocker. Deze screenshot werd gedeeld met Bleeping Computer en plaatsen wij met schriftelijke toestemming.
Wat is WastedLocker?
WastedLocker is een nieuwe vorm van ransomware. Naar verluidt wordt deze beheerd door de Russische criminele cyberorganisatie Evil Corp. Deze groep is opgericht door de Russische hackers Igor Turashev en Maksim Yakubets. WastedLocker ransomware wordt op dezelfde manier verspreid als soortgelijke kwaadaardige programma’s: via de mail, gemanipuleerde websites en via software installatie door (externe) bedrijven. Inmiddels zijn er al honderden websites geïnfecteerd geweest met de locker. Voor wie een gehele analyse wilt lezen over hoe deze ransomware, die Garmin een lang weekend in de greep heeft gehouden, werkt kan terecht bij Sentinelone via deze link.
Garmin services weer online op 27 juli 2020
Op maandag 27 juli werden de services van Garmin weer langzaamaan herstart. Gezien de omvang van de herstart was bijvoorbeeld Garmin Connect niet direct voor iedereen tegelijk bereikbaar. De belangrijke luchtvaarttak van Garmin is wel weer volledig operationeel. Garmin Connect kampt ook op 28 juli 2020 nog met problemen, maar gebruikers krijgen wel de melding: “We zijn verheugd te kunnen melden dat het herstel van Garmin Connect bezig is. We willen u bedanken voor uw begrip en geduld op weg naar de normale situatie”.
Mogelijke sancties als Garmin een betaling heeft gedaan
In 2019 heeft de Verenigde Staten sancties opgelegd tegen de criminelen achter Evil Corp. Hierdoor lijkt Garmin het afgelopen weekend voor een lastige keuze te hebben gestaan. Als Garmin een betaling verricht, om zo de gegevens veilig te stellen, dan kan dit als een overtreding van de wet in de Verenigde Staten worden gezien. Het is vooralsnog onbekend of Garmin een betaling heeft gedaan om de systemen weer vrij te geven. De sancties houden in dat het voor Amerikaanse personen en/of bedrijven in het algemeen verboden is om transacties aan te gaan met deze cybercriminelen.
Veelgestelde vragen over de Garmin cyberaanval
De cyberaanval op Garmin heeft veel vragen opgeroepen. Hieronder een overzicht van de vragen (met daarbij onze antwoorden) die wij vaak gehoord hebben en vragen die we online veel zijn tegengekomen.
Heeft Garmin een betaling gedaan om de systemen weer vrij te geven?
Dit is onbekend. Een anonieme bron weet te melden dat het zou gaan om 10 miljoen dollar aan losgeld. Het is echter niet bekend of Garmin deze betaling heeft gedaan. Er staan meerdere artikelen op het internet rondgaan waarin staat dat Garmin de digitale sleutels heeft gekocht om de gegevens te ontgrendelen. Deze zijn echter gebaseerd op niet-bevestigde geruchten.
Wanneer kan je Garmin toestellen weer synchroniseren met Garmin Connect?
Het herstel is op 27 juli 2020 ingezet en kan nog even duren. Garmin Golf en Garmin Dive zijn op het moment weer online. Net zoals Activity details & uploads en LiveTrack. Alle informatie lees je op deze statuspagina van Connect.Garmin.
Zijn er klantgegevens of andere privacygevoelige informatie gestolen?
Garmin geeft op de statuspagina aan dat zij geen indicatie hebben dat klantgegevens, inclusief betalingsinformatie van Garmin Pay, zijn geopend, verloren of gestolen zijn. Toch willen wij hier een kanttekening bij plaatsen. Ransomware kán namelijk wel gegevens stelen voordat deze vergrendeld worden. Eerder hebben we al eens gezien dat deze gegevens werden gebruikt om bankrekening en data van klanten te misbruiken bij ransomware-aanvallen. Vooralsnog is hier bij de Garmin hack geen sprake van.
Werken de Garmin Aviation-systemen weer?
De luchtvaarttak van Garmin werd ook hard geraakt door de aanval. Op het moment zijn Garmin Pilot Apps, FlyGarmin, Connext Services, FltPlan.com weer online. Meer informatie kun je op deze statuspagina bekijken.