Garmin ngừng cung cấp dịch vụ trên toàn cầu do bị tấn công mạng
An toàn thông tin - Ngày đăng : 16:51, 24/07/2020
Trên trang web của Garmin và tài khoản Twitter thông báo: "Chúng tôi đang gặp sự cố mất điện ảnh hưởng tới Garmin.com và Garmin Connect".
"Sự cố này cũng ảnh hưởng tới tổng đài của chúng tôi nên hiện tại chúng tôi không thể nhận được bất kỳ cuộc gọi, email hay tin nhắn trực tuyến nào. Chúng tôi đang cố gắng giải quyết vấn đề nhanh nhất có thể và xin lỗi về sự bất tiện này".
Cụ thể, ngày 23/7, công ty đã buộc phải tạm thời ngừng hoạt động một số dịch vụ được kết nối của mình, trong đó có Garmin Express, Garmin Connect, gồm ứng dụng di động và trang web - giới hạn hàng triệu người dùng truy cập dịch vụ đám mây hoặc thậm chí đồng bộ hóa đồng hồ của họ với ứng dụng.
Mặc dù Garmin cho biết vụ việc này xuất phát từ sự cố mất điện nhưng một số nhân viên của công ty đã chia sẻ câu chuyện hoàn toàn khác. Hiện không có nhiều thông tin về các kỹ thuật được sử dụng để tấn công mạng, nhưng một số nguồn tin tiết lộ hệ thống của Garmin đã bị ransomware tấn công và khóa một số thành phần.
Theo các nguồn tin, sự cố thậm chí còn ảnh hưởng tới dây chuyền sản xuất của Garmin. Garmin đã gửi thông báo đến các nhân viên của mình tại các nhà máy có trụ sở tại Đài Loan về kế hoạch tạm dừng sản xuất và bảo trì trong hai ngày tiếp theo, tức là vào ngày 24 và 25/7.
Nhiều nguồn tin trong cộng đồng an ninh mạng cho rằng cuộc tấn công mạng có thể có liên quan đến WastedLocker, một trong những băng đảng ransomware nhắm mục tiêu, hay còn được biết đến là Evil Corp hoặc Dridex.
Cách thức hoạt động của nhóm tấn công đằng sau WastedLocker, bao gồm xâm phạm mạng công ty, thực hiện leo thang đặc quyền và sau đó sử dụng chuyển động bên (lateral movement) để cài đặt ransomware trên các hệ thống có giá trị trước khi gửi yêu cầu thanh toán tiền chuộc lên tới hàng triệu USD.
Theo các chuyên gia tại SentinelOne, WastedLocker là một họ ransomware tương đối mới hoạt động trong vài tháng qua. Chúng thực hiện đã tấn công vào các mục tiêu có giá trị cao trong nhiều ngành công nghiệp.
WastedLocker sử dụng bộ công cụ SocGholish dựa trên JavaScript để phân phối tải trọng (payload) bằng cách giả mạo dưới dạng cập nhật hệ thống hoặc phần mềm, khai thác các kỹ thuật bỏ qua quản lý tài khoản người dùng UAC (User Account Control) để nâng cao đặc quyền và tận dụng Cobalt Strike cho các chuyển động bên.
"Tất cả các công nghệ bảo mật trên thế giới không thể bảo vệ chống lại những kẻ tấn công dã tâm. 97% tổn thất bắt nguồn từ các cuộc tấn công phi kỹ thuật và hơn 90% được bắt đầu bằng email", Giám đốc điều hành Lucy Security Colin Bastable chia sẻ với The Hacker News.
Hiện tại vẫn chưa rõ Garmin có bị ransomware tấn công thật hay không. Bên cạnh đó, không rõ dữ liệu của người dùng Garmin có bị ảnh hưởng hay không.