Уже практически сутки недоступны большинство онлайн-сервисов Garmin Connect для носимой электроники производства Garmin. Вдобавок сейчас продолжаются перебои в работе сайта Garmin.com, не работает колл-центр, онлайн-чат и даже приостановлена часть производственной линии.
Согласно информации издания ZDNet, этот серьезный инцидент, буквально остановивший работу целой компании, произошел из-за проникновения внутрь закрытой сети Garmin вируса-вымогателя WastedLocker, который смог заразить большинство ПК сотрудников и часть серверов, отвечающих за передачу данных умных часов и другой спортивной электроники Garmin. Кроме того, сбой коснулся и сервиса для пилотов самолетов flyGarmin. Пилоты, использующие сервис, не могут обновить базы данных Garmin в своих навигационных устройствах, хотя по требованию Федерального управления гражданской авиации США это должно делаться регулярно. Вдобавок перестало работать приложение Garmin Pilot, которое используется при планирования полетов.
К сожалению, специалисты компании не смогли вовремя остановить распространение вируса. Поэтому серьезно пострадали не только основные сетевые сервисы, но и производственные отделы компании, включая некоторые линии по производству продукции в Азии. Хоть сейчас в Garmin начали процесс восстановления сервисов, например, стал работать сайт компании, для полного возвращения компании к обычной работе понадобится не менее нескольких дней или даже недель. Причем часть данных пользователей Garmin может быть потеряна навсегда. Представитель Garmin не подтвердил факт вирусной атаки, а также не пояснил, были ли предъявлены требования к компании по поводу выкупа зашифрованных данных.
Однако, сами пользовательские устройства Garmin от атаки вируса не пострадали, но они сейчас не могут полноценно работать из-за отказа доступа к онлайн-сервисам. Многие пользователи смогли сохранить текущие данные о тренировках со своих гаджетов с помощью ПК и доступу к партнерским службам Garmin, например, Strava.
В настоящее время представитель Garmin пояснил, что в компании еще не знают, сколько именно времени займет полное восстановление служб и онлайн-сервисов, чтобы пользователи смогли проверить свои облачные данные. Фактически, весь антикризисный план Garmin в этой ситуации — закрыться от обнародования информации и попытаться максимально быстро поднять все сервисы (более четырех суток простоя уже прошли), чтобы акции компании не упали слишком сильно.
Вечером 25 июля Garmin опубликовала на сайте объявление для пользователей о текущей ситуации. Там также не проясняется причина произошедшего, но обговариваются некоторые моменты — в компании наедятся, что им удастся сохранить все пользовательские данные, включая платежи и другую информацию. Также стало ясно, что если сейчас купить новое устройство Garmin, то активировать и подключить его к сети компании не получится еще некоторое время.
Эксперты ИБ-компании Fox-IT отслеживают появление и использование зловреда WastedLocker с мая 2020 года. По их данным, вымогатель используется исключительно против американских компаний, а суммы выкупов, которые он требует у пострадавших, исчисляются миллионами долларов. При развертывании внутри атакуемой сети вирус шифрует данные на файловых серверах, атакует БД-сервисы, виртуальные машины и облачные среды, нарушает работу приложений для резервного копирования и связанной с ними инфраструктуры, включая удаление резервных копий, чтобы максимально затруднить восстановление информации для пострадавших компаний. Единственное, что WastedLocker не делает — копирование данных перед их шифрованием.
См. также: «Security Week 31: атака на инфраструктуру Garmin»
