Garmin, hãng sản xuất thiết bị theo dõi sức khỏe và smartwatch, đang trong quá trình xử lý sự cố gián đoạn dịch vụ trên toàn cầu sau một cuộc tấn công đòi tiền chuộc bằng mã độc ransomware.
Trên trang web và tài khoản Twitter của công ty đồng loạt thông báo về sự cố và xin lỗi khách hàng, đồng thời cho biết hãng đang tìm các khắc phục vấn đề một cách nhanh nhất có thể. Sự cố sẽ ảnh hưởng đến các trung tâm nhận cuộc gọi, phía công ty sẽ không thể tiếp nhận cuộc gọi, email hoặc bất kỳ hình thức liên lạc trực tuyến nào khác. Tuy nhiên Garmin vẫn chưa chính thức xác nhận đây có phải một cuộc tấn công ransomware hay không.
Garmin phải tạm ngừng hoạt động một số dịch vụ kết nối, gồm Garmin Express, Garmin Connect và trang web với hàng triệu người dùng của hãng, vốn được dùng để khách hàng truy cập các dịch vụ đám mây, đồng bộ hóa đồng hồ với ứng dụng.
Chưa có nhiều thông tin về kỹ thuật tấn công của tin tặc, một số nguồn tin tuyên bố những kẻ tấn công đã dùng mã độc ramsomware tìm cách can thiệp vào các ứng dụng và máy chủ cơ sở dữ liệu của công ty. Ngoài ra, Garmin còn gửi thông báo đến nhân viên tại các nhà máy trụ sở tại Đài Loan về kế hoạch tạm dừng sản xuất và bảo trì trong hai ngày ngày 24 và 25/7. Như vậy, rất có thể sự cố cũng ảnh hưởng đến hoạt động sản xuất của công ty.
Một số thông tin từ cộng đồng an ninh mạng cho rằng cuộc tấn công có liên quan đến một loại mã độc ransomware có tên WastedLocker, do nhóm tin tặc khét tiếng Evil Group vận hành.
Thông thường, những kẻ đứng đằng sau WastedLocker sẽ tấn công vào hệ thống mạng của công ty, leo thang đặc quyền, sử dụng phương pháp chuyển động bên (lateral movement) để cài đặt mã độc ransomware trên các hệ thống có giá trị. Sau đó chúng gửi cho nạn nhân yêu cầu đòi tiền chuộc lên tới hàng triệu USD.
Theo các chuyên gia của SentinelOne, WastedLocker là một biến thể ransomware tương đối mới, bắt đầu hoạt động được vài tháng. Loại mã độc này đã tấn công vào một số công ty lớn trong ngành công nghiệp.
WastedLocker sử dụng bộ công cụ SocGholish dựa trên JavaScript để phân phối mã khai thác (payload) bằng cách giả vờ cập nhật hệ thống hoặc phần mềm. Sau đó khai thác một số kỹ thuật bỏ qua tính năng quản lý tài khoản người dùng UAC (User Account Control) để nâng cao đặc quyền và tận dụng phần mềm Cobalt Strike để hỗ trợ phương pháp chuyển động bên.
“Tất cả các công nghệ bảo mật trên thế giới đều không thể chống lại những kẻ tấn công có dã tâm. 97% tổn thất bắt nguồn từ những cuộc tấn công phi kỹ thuật (socially-engineered attack) và hơn 90% được bắt đầu qua email”, Colin Bastable, Giám đốc điều hành Lucy Security chia sẻ.
“Bạn sẽ không biết khi nào kẻ xấu sẽ tấn công và ai là nạn nhân tiếp theo của chúng. Tuy nhiên, chúng ta nên biết là mọi tổ chức đều dễ bị tấn công bởi mã độc ransomware. Vì vậy hãy chuẩn bị tất cả mọi kịch bản để đối phó. Hy vọng Garmin cho chế độ sao lưu dữ liệu hằng ngày cho các hệ thống của công ty. Đó là điều cơ bản nhất, nếu bạn bị tấn công, ít nhất cũng có thể khôi phục dữ liệu”, Saryu Nayyar, CEO Gurucul cho biết.