{"id":24829,"date":"2020-08-03T15:05:24","date_gmt":"2020-08-03T13:05:24","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24829"},"modified":"2022-05-05T14:21:03","modified_gmt":"2022-05-05T12:21:03","slug":"wastedlocker-garmin-incident","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/wastedlocker-garmin-incident\/24829\/","title":{"rendered":"Eine Analyse der gezielten Ransomware WastedLocker"},"content":{"rendered":"<p>Ende Juli 2020 wimmelte es auf den IT-Nachrichtenwebsites von Berichten \u00fcber Garmin. Verschiedene Dienste von Garmin, darunter auch die Synchronisierung von Ger\u00e4ten mit der Cloud und Tools f\u00fcr Piloten, wurden deaktiviert. Der Mangel an genauen Informationen seitens Garmin f\u00fchrte zu wilden Theorien. Wir unsererseits beschlossen, vor der Beurteilung der Situation auf einige konkrete Daten zu warten.<\/p>\n<p>In einer <a href=\"https:\/\/www.garmin.com\/de-de\/outage\/\" target=\"_blank\" rel=\"noopener nofollow\">offiziellen Stellungnahme<\/a> best\u00e4tigte Garmin, dass das Unternehmen von einem Cyberangriff getroffen wurde, bei dem Online-Dienste unterbrochen und einige interne Systeme verschl\u00fcsselt wurden. Die zum Zeitpunkt verf\u00fcgbaren Informationen deuten darauf hin, dass die Angreifer die WastedLocker-Ransomware verwendet haben. Unsere Experten f\u00fchrten daraufhin eine detaillierte technische Analyse der Malware durch. In diesem Beitrag erl\u00e4utern wir die wichtigsten Ergebnisse.<\/p>\n<h2>WastedLocker Ransomware<\/h2>\n<p>Die WastedLocker-Ransomware ist ein Beispiel f\u00fcr <em>gezielte<\/em> Ransomware, d.h., es handelt sich hierbei um Malware, die so optimiert wurde, dass sie ein bestimmtes Unternehmen angreift. Die Nachricht der Ransomware bezog sich namentlich auf das Opfer, und alle verschl\u00fcsselten Dateien erhielten die zus\u00e4tzliche Erweiterung. garminwasted.<\/p>\n<p>Das kryptographische Schema der Cyberkriminellen weist auf die gleiche Schlussfolgerung hin. Die Dateien wurden mit den AES- und RSA-Algorithmen verschl\u00fcsselt, die Ransomware-Entwickler oft kombinieren. Zur Verschl\u00fcsselung der Dateien wird jedoch ein \u00f6ffentlicher RSA-Schl\u00fcssel verwendet und nicht ein f\u00fcr jede Infektion eindeutig generierter Schl\u00fcssel. Mit anderen Worten, wenn diese Ransomware-Modifikation gegen mehrere Ziele verwendet w\u00fcrde, w\u00e4re das Datenentschl\u00fcsselungsprogramm universell einsetzbar, da es auch einen privaten Schl\u00fcssel geben m\u00fcsste.<\/p>\n<p>Dar\u00fcber hinaus weist die Ransomware folgende kuriose Merkmale auf:<\/p>\n<ul>\n<li>Sie priorisiert die Datenverschl\u00fcsselung, d.h. die Cyberkriminellen k\u00f6nnen ein bestimmtes Verzeichnis von Dateien angeben, die zuerst verschl\u00fcsselt werden sollen. Das maximiert den Schaden f\u00fcr den Fall, dass Sicherheitsmechanismen die Datenverschl\u00fcsselung stoppen, bevor sie abgeschlossen ist;<\/li>\n<li>Sie unterst\u00fctzt die Dateiverschl\u00fcsselung auf entfernten Netzwerkressourcen;<\/li>\n<li>Sie \u00fcberpr\u00fcft Privilegien und Rechte und <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dll-hijacking\/\" target=\"_blank\" rel=\"noopener\">verwendet DLL-Hijacking zur Zugriffserweiterung<\/a><\/li>\n<\/ul>\n<p>Eine detaillierte Analyse der Ransomware finden Sie im englischsprachigen Beitrag <a href=\"https:\/\/securelist.com\/wastedlocker-technical-analysis\/97944\/\" target=\"_blank\" rel=\"noopener\">WastedLocker: technical analysis<\/a> auf Securelist.<\/p>\n<h2>Wie steht es um Garmin?<\/h2>\n<p>Der aktualisierten Stellungnahme des Unternehmens zufolge sind die Dienste wieder einsatzbereit, auch wenn die Datensynchronisation m\u00f6glicherweise langsam ist und in einigen Einzelf\u00e4llen noch immer eingeschr\u00e4nkt ist. Das ist verst\u00e4ndlich: Ger\u00e4te, die mehrere Tage lang nicht mit ihren Cloud-Diensten synchronisiert werden konnten, kontaktieren nun alle Server des Unternehmens auf einmal, was die Belastung erh\u00f6ht.<\/p>\n<p>Garmin erkl\u00e4rt, dass es keine Beweise daf\u00fcr gibt, dass sich jemand w\u00e4hrend des Vorfalls unbefugten Zugriff auf Benutzerdaten verschafft hat.<\/p>\n<h2>Wie man sich gegen solche Angriffe sch\u00fctzt<\/h2>\n<p>Gezielte Ransomware-Angriffe auf Unternehmen werden auch morgen noch existieren.<\/p>\n<p>In Betracht dessen empfehlen wir folgende Schutzma\u00dfnahmen:<\/p>\n<ul>\n<li>Halten Sie die Software immer auf dem neuesten Stand, insbesondere das Betriebssystem, da die meisten Trojaner bekannte Schwachstellen ausnutzen.<\/li>\n<li>Verwenden Sie RDP, um den \u00f6ffentlichen Zugriff auf Unternehmenssysteme zu verweigern (oder verwenden Sie ggf. ein VPN).<\/li>\n<li>Bringen Sie Mitarbeitern die Grundlagen der Cybersicherheit bei. Meistens ist <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/social-engineering\/\" target=\"_blank\" rel=\"noopener\">es Social Engineering<\/a>, dass Ransomware-Trojaner eindringen l\u00e4sst und Unternehmensnetzwerke infiziert.<\/li>\n<li>Verwenden Sie hochmoderne Sicherheitsl\u00f6sungen mit fortschrittlichen Anti-Ransomware-Technologien. <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Unsere Produkte<\/a> erkennen WastedLocker und verhindern eine Infektion.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Hauptverd\u00e4chtige des Ransomware-Angriffs auf Garmin wurde von unseren Experten einer detaillierten technischen Untersuchung unterzogen. <\/p>\n","protected":false},"author":2706,"featured_media":24830,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108],"tags":[274,3624,535],"class_list":{"0":"post-24829","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-bedrohungen","12":"tag-garmin","13":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/wastedlocker-garmin-incident\/24829\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/wastedlocker-garmin-incident\/21644\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/wastedlocker-garmin-incident\/17107\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/wastedlocker-garmin-incident\/8467\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/wastedlocker-garmin-incident\/22971\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/wastedlocker-garmin-incident\/21158\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/wastedlocker-garmin-incident\/19791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/wastedlocker-garmin-incident\/23590\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/wastedlocker-garmin-incident\/22464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/wastedlocker-garmin-incident\/28840\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/wastedlocker-garmin-incident\/8649\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/wastedlocker-garmin-incident\/36626\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/wastedlocker-garmin-incident\/15400\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/wastedlocker-garmin-incident\/15808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/wastedlocker-garmin-incident\/13743\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/wastedlocker-garmin-incident\/11780\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/wastedlocker-garmin-incident\/28927\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/wastedlocker-garmin-incident\/25760\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/wastedlocker-garmin-incident\/22688\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/wastedlocker-garmin-incident\/27934\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/wastedlocker-garmin-incident\/27764\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24829"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24829\/revisions"}],"predecessor-version":[{"id":24835,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24829\/revisions\/24835"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24830"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}