[English]Seit einigen Stunden sind ja einige Dienste des Anbieters von Navigationslösungen, Garmin, offline. Jetzt gibt es wohl die Bestätigung, dass ein WastedLocker Ransomware-Angriff die Ursache für die Probleme ist. Ergänzung: So langsam kommt Garmin wieder in Betrieb.
Shutdown aller Garmin-Dienste
Garmin, ein schweizerisch-amerikanischer Hersteller von Navigations-Empfängern zur satellitengestützten Positionsbestimmung und Navigation, musste vor einigen Tagen seine gesamte IT-Infrastruktur herunterfahren. Ein Hinweis erschien auf dem Twitter-Kanal des Unternehmens, in denen Garmin nur allgemein bekannt gab, dass ihre Server für ‚Wartung‘ heruntergefahren seien und es Leistungsprobleme für Garmin Connect Mobile, die Website und Garmin Express gäbe.
Dear Garmin Users,
Our servers are currently down for maintenance & it may limit the performances of Garmin Connect Mobile & Website, and Garmin Express. We are trying our best to resolve it asap. We seek your kind understanding & apologise for any inconvenience.
Thank You
— Garmin India (@Garmin_India) July 23, 2020
Auf dem Twitter-Kanal des Herstellers Garmin ist bereits vor Stunden ein Hinweis erschienen, dass diverse Dienste abgeschaltet seien. Dieser Ausfall betrifft auch die Callcenter des Unternehmen. Zudem schreibt man, dass derzeit keine Anrufe, E-Mails oder Online-Chats angenommen werden können. Der Hersteller will sich bemühen, dieses Problem so schnell wie möglich zu lösen.
(Garmin Webseite ist down)
Selbst die Webseite des Unternehmens war zeitweise nicht erreichbar. Ich hatte im Artikel Garmin kappt Dienste (vermutlich) nach Ransomware-Angriff darüber berichtet.
WastedLocker Ransomware-Angriff
Inzwischen berichtet Bleeping Computer in diesem Artikel, unter Berufung auf eigene Quellen, dass der Shutdown auf Grund eines erfolgreichen WastedLocker Ransomware-Angriffs stattgefunden habe. WastedLocker wird von der Dridex-Gruppe eingesetzt. Evil Corp (alias die Dridex-Gang) ist eine in Russland ansässige Cyberkriminellengruppe, die mindestens seit 2007 aktiv ist und von der bekannt ist, dass sie hinter der Dridex-Malware steckt und Lösegeldforderungen als Teil ihrer Angriffe verwendet, darunter Locky-Lösegeldforderungen und ihre eigene Lösegeldforderung, bekannt als BitPaymer.
Aus diesem Grund ist es für Garmin eine heikle Situation, wenn sie das Lösegeld zahlen wollen, da sie damit möglicherweise gegen die Sanktionen der Vereinigten Staaten verstoßen würden. Seitdem hat die Hackergruppe ihre Taktik wieder aktualisiert und ist jetzt wieder in das „Lösegeldgeschäft“ verwickelt, indem sie ihre neue WastedLocker-Lösegeldsoftware bei gezielten Angriffen auf Unternehmen einsetzt und Lösegeld in Millionenhöhe verlangt.
Ergänzung: Ein Garmin-Angestellter hat gegenüber Bleeping Computer den Ransomware-Angriff bestätigt. Er hat erst von dem Angriff erfuhr, als er am Donnerstagmorgen in seinem Büro eintraf. Die IT-Abteilung von Garmin versucht noch, als der Ransomware-Angriff bemerkt wurde, alle Computer im Netzwerk ferngesteuert herunterzufahren. Dies betraf auch die über VPN verbundenen Heimcomputer. Aber es stellte sich heraus, dass dies möglich war.
Daher wurden die Mitarbeiter angewiesen, jeden Computer im Netzwerk, auf den sie Zugriff hatten, herunterzufahren. Der Garmin-Mitarbeiter teilte Bleeping Computer auch mit, dass im Rahmen der unternehmensweiten Abschaltung alle in einem Rechenzentrum gehosteten Systeme ebenfalls hart heruntergefahren wurden. Dadurch sollte eine Verschlüsselung der Datenträger verhindert werden. Weitere Details sind im Artikel von Bleeping Computer nachlesbar.
Ergänzung 1: So langsam kommt Garmin wieder IT-mäßig in Betrieb. Zumindest läuft Garmin Connect wieder – Daten scheinen keine verloren gegangen zu sein. Details lassen sich bei Golem nachlesen.
Das Passwort zu ändern ging noch.
Die Anmeldung über Garmin-Express ist erstmal nicht möglich.
Ich hoffe das die Gebuchten Sachen (Lebenslange Katenupdates usw.) danach noch vorhanden sind.
Guten Morgen,
seit kurzem sind die meisten Dienste wieder online.
Jetzt ist wohl zeit wie IngoW schon gemacht hat dass Kennwort zu ändern.
MFG
Andre