Analyse du ransomware WastedLocker

Nos experts font une analyse technique et détaillée du principal suspect de l’attaque de ransomware dont Garmin a été victime.

Fin juillet 2020, les sites d’actualités technologiques débordaient d’articles sur Garmin. Plusieurs services de Garmin, dont la synchronisation des dispositifs avec le Cloud et les outils destinés aux pilotes, étaient inutilisables. Le manque d’informations officielles a donné lieu à de nombreuses théories. Quant à nous, nous avons décidé d’attendre d’avoir certaines données concrètes pour évaluer la situation.

Dans son communiqué officiel, Garmin a confirmé avoir été victime d’une cyberattaque qui a interrompu ses services en ligne et chiffré certains systèmes internes. Les informations disponibles au moment où nous rédigeons cet article indiquent que les pirates informatiques ont utilisé la ransomware WastedLocker. Nos experts ont réalisé une analyse technique et détaillée du malware. Voici leurs principales découvertes.

Ransomware WastedLocker

WastedLocker est l’exemple d’un ransomware qui réalise des attaques ciblées, c’est-à-dire un malware paramétré pour s’en prendre à une entreprise en particulier. La demande de rançon se dirige à la victime par son nom et l’extension .garminwasted est ajoutée à tous les fichiers chiffrés.
Le schéma de chiffrement utilisé par les cybercriminels nous permet de tirer la même conclusion. Ils ont utilisé les algorithmes AES et RSA pour chiffrer les fichiers. Les créateurs de ransomware les utilisent souvent ensemble. Pourtant, pour chiffrer les fichiers, ils se sont servis d’une clé publique RSA plutôt que d’une clé générée uniquement pour chaque infection. En d’autres termes, si cette modification de ransomware était utilisée contre plusieurs cibles, le programme de chiffrement des données serait d’usage général puisqu’il devrait aussi y avoir une clé privée.

  • De plus, le ransomware dispose de fonctions plutôt étranges :
    La priorité est donnée au chiffrement des données, ce qui signifie que les cybercriminels peuvent indiquer quel répertoire de fichiers doit être chiffré en premier. Cela maximise les dégâts au cas où les mécanismes de sécurité arrêteraient le chiffrement des données avant qu’il ne soit terminé.
  • Soutien du chiffrement du fichier des ressources du réseau à distance.
  • Privilège de contrôle et utilisation du contournement de la DLL pour escalader les privilèges.
    Vous trouverez une analyse détaillée du ransomware dans l’article en anglais publié sur Securelist et intitulé WastedLockwer: technical analysis.

Où en est Garmin ?

Selon les dernières déclarations faites par Garmin, les services sont à nouveau opérationnels même si la synchronisation des données peut être lente et encore limitée dans certains cas. C’est compréhensible : les dispositifs qui n’ont pas pu se synchroniser avec le Cloud pendant plusieurs jours contactent tous en même temps les serveurs de l’entreprise, ce qui augmente la charge.
Garmin indique qu’il n’existe aucune preuve laissant croire qu’une personne ait pu accéder de façon illégale aux données client pendant l’incident.

Comment se protéger de ces attaques

Les attaques ciblées de ransomware qui s’en prennent aux entreprises ne vont pas disparaître de sitôt. Cela étant dit, les conseils à suivre pour vous en protéger sont assez simples :

  • Ayez toujours vos programmes à jour, surtout votre système d’exploitation. La plupart des chevaux de Troie exploitent des vulnérabilités connues.
  • Utilisez le RDP pour refuser l’accès public aux systèmes de l’entreprise (ou, si besoin, un VPN).
  • Formez vos employés pour qu’ils aient des connaissances de base en cybersécurité. Dans la plupart des cas, c’est à cause de l’ingénierie sociale que les employés laissent passer un ransomware de type cheval de Troie et que ce dernier infecte le réseau de l’entreprise.
  • Utilisez des solutions de sécurité de pointe équipées de technologies anti-ransomware avancées. Nos produits détectent WastedLocker et empêchent l’infection.
Conseils