Si Garmin continue de parler de “panne” et non de cyberattaque, plusieurs médias soutiennent que le fabricant de montres connectées a été attaqué par un ransomware nommé WastedLocker. Mais qui est WasterLocker ?
De nombreux services du fabricant américain de montres connectées et de systèmes de navigation par GPS Garmin étaient bloqués vendredi, Garmin évoquant alors une panne. Mais plusieurs médias évoquait une cyberattaque causée par WasterLocker, un nouveau venu dans la famille des ransomwares.
WastedLocker est un malware récent, apparu en avril/mai 2020 selon SentinelLabs, qui faisait le point sur ce ransomware il y a quelques jours. Son nom vient du fait que “wasted” est ajouté aux fichiers cryptés lors de l’infection. Il est semblable aux familles Maze et NetWalker. WastedLocker s’en prend à des organisations importantes dans de nombreux secteurs et leurs campagnes ont ciblé plusieurs entreprises du classement Fortune 500 basées aux États-Unis. WastedLocker est, selon les spécialistes de la cybersécurité, exploité par un groupe de hackers connu sous le nom d’Evil Corp, le même gang qui est associé à Dridex et BitPaymer.
Les chercheurs de Malwarebytes, qui ont en mai dernier détaillé le comportement du malware, indiquent que WastedLocker cible principalement les PC fonctionnant sur les systèmes d’exploitation Windows et est capable d’infecter toutes les versions de Windows OS. Mais ils précisent qu’il ne semble pas avoir la capacité de voler ou d’exfiltrer des données avant de chiffrer les fichiers de la victime. “Là où d’autres opérateurs de ransomware ajoutent l’exfiltration et même la vente aux enchères de données volées à leur arsenal, le gang Evil Corp n’est pas encore allé dans ce sens“, disent-ils. Les demandes de rançon sont élevées, allant de 500 000 dollars à plus de 10 millions de dollars en Bitcoins, indiquent les chercheurs.
Sites Web Torrent, spams, partage de réseau poste à poste, activation non officielle et outils de mise à jour sont les principales méthodes de distribution de ce ransomware.
Selon Emmanuel Mériot, directeur France et Espagne chez Darktrace, “les rapports suggèrent que l’infection initiale a eu lieu par e-mail. Les courriels de phishing restent un moyen peu coûteux et très efficace de distribuer des logiciels de rançon (ransomwares).”