Garmin phải đóng cửa dịch vụ sau khi bị ransomware tấn công

Garmin, nhà sản xuất thiết bị theo dõi sức khỏe, thiết bị đeo dựa trên GPS và đồng hồ thông minh, hiện đang phải đóng cửa một số dịch vụ trên toàn cầu sau khi gặp sự cố với một cuộc tấn công ransomware

Trang web và tài khoản Twitter của công ty đưa ra thông báo: “Chúng tôi hiện đang gặp sự cố mất điện ảnh hưởng tới trang web Garmin.com và dịch vụ Garmin Connect.”

“Sự cố này cũng ảnh hưởng đến các trung tâm chăm sóc khách hàng của Garmin và hiện tại chúng tôi không thể nhận được bất cứ cuộc gọi, email hay bất cứ tin nhắn trực tuyến nào. Chúng tôi đang cố gắng giải quyết vấn đề này nhanh nhất có thể và vô cùng xin lỗi vì sự bất tiện này.”

Hậu quả là công ty này hôm qua đã buộc phải tạm thời ngừng một số dịch vụ liên kết, bao gồm dịch vụ Garmin Express, dịch vụ đồng bộ dữ liệu Garmin Connect Mobile và trang web Garmin.com. Điều này đã khiến hàng triệu người dùng bị giới hạn khi truy cập vào các dịch vụ đám mây hay thậm chí là gặp khó khăn khi đồng bộ hóa đồng hồ của họ với ứng dụng.

Mặc dù không có nhiều thông tin kỹ thuật được công khai, nhưng theo báo cáo của một số phương tiện truyền thông địa phương thì tin tặc đã tấn công được vào các ứng dụng và máy chủ cơ sở dữ liệu của công ty này bằng mã độc ransomware.

Kênh tin truyền thông này cũng cho biết Garmin đã gửi thông báo cho nhân viên IT của mình tại các nhà máy ở Đài Loan và nói rằng công ty sẽ thực hiện bảo trì hệ thống trong hai ngày 24 và 25 tháng 7.

Nhiều nguồn tin trong cộng đồng an ninh mạng cho rằng vụ tấn công mạng này có thể liên quan đến WazedLocker, một trong những băng đảng chuyên tấn công bằng ransomware, hay còn được biết đến với tên gọi Evil Corp hoặc Dridex.

Garmin ransomware attack

Cách thức hoạt động của những kẻ tấn công đằng sau WastedLocker bao gồm: xâm phạm hệ thống mạng công ty, thực hiện leo thang đặc quyền và sau đó sử dụng di chuyển kênh bên (lateral movement) để cài đặt ransomware trên các hệ thống có giá trị trước khi yêu cầu thanh toán tiền chuộc lên đến hàng triệu USD.

Theo các chuyên gia tại SentinelOne, WastedLocker là một họ ransomware tương đối mới và chỉ bắt đầu hoạt động thường xuyên trong vài tháng trở lại đây. Tuy nhiên, kể từ khi bắt đầu hoạt động, nó đã chuyên tấn công các mục tiêu có giá trị cao trong nhiều ngành công nghiệp khác nhau.

WazedLocker sử dụng bộ công cụ SocGholish dựa trên JavaScript để phân phối payload bằng cách giả mạo các cập nhật hệ thống hoặc cập nhật phần mềm. Sau đó, chúng khai thác các kỹ thuật bypass UAC (User Account Control) để leo thang các đặc quyền và lợi dụng Cobalt Strike cho hoạt động di chuyển kênh bên.

“Tất cả các công nghệ bảo mật tiên tiến nhất trên thế giới cũng không thể bảo vệ hệ thống chống lại những kẻ tấn công có dã tâm. Đó là vì 97% các tổn thất bắt nguồn từ các cuộc tấn công phi kỹ thuật và hơn 90% thì bắt đầu từ email,” Colin Bastable, CEO của Lucy Security chia sẻ với The Hacker News.

“Trong các cuộc chiến tranh mạng, không có cái gọi là chiến tuyến. Bởi lẽ tất cả chúng ta đều có thể là mục tiêu bị nhắm đến và không có bất cứ tổ chức hay cá nhân nào là an toàn trước các cuộc tấn công mạng. Vậy nên, hãy đào tạo nhân viên của bạn để họ có thể tự phát hiện và bảo vệ mình trước các cuộc tấn công ransomware. Nó cũng giống như việc bạn vá hệ thống vậy, hãy thường xuyên “vá” những lỗ hổng kiến thức của nhân viên bạn bằng cách trang bị cho họ những kiến thức bảo mật mới nhất, một cách liên tục và có kế hoạch để biến họ trở thành một phần phòng thủ vững chắc của bạn,” Bastable nói thêm.

Saryu Nayyar, CEO của Gurucul cũng đưa ra đề xuất tương tự:

“Bạn không biết khi nào kẻ xấu sẽ tấn công và ai sẽ là nạn nhân tiếp theo của chúng. Tuy nhiên, điều chúng ta chắc chắn là mọi tổ chức đều có nguy cơ bị tấn công bởi các ransomware.”

“Vì vậy, hãy làm những gì bạn có thể để chuẩn bị và ứng phó với các cuộc tấn công có thể xảy ra. Hy vọng rằng Garmin có chế độ sao lưu hàng ngày cho các hệ thống và dữ liệu của họ. Đó là điều tối thiểu mà mọi công ty nên có. Nếu bạn bị tấn công, ít nhất bạn còn có thể khôi phục dữ liệu của mình.”

Garmin hiện vẫn chưa chính thức xác nhận liệu vụ việc có phải là một cuộc tấn công ransomware hay không, nhưng chúng tôi đã liên hệ với công ty và sẽ cập nhật vụ việc này ngay khi nhận được thêm những thông tin mới.

Theo The Hacker News

Nguồn Securitydaily.net