{"id":25760,"date":"2020-08-03T14:04:03","date_gmt":"2020-08-03T12:04:03","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25760"},"modified":"2022-05-05T13:57:03","modified_gmt":"2022-05-05T11:57:03","slug":"wastedlocker-garmin-incident","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/wastedlocker-garmin-incident\/25760\/","title":{"rendered":"Analyse van de gerichte ransomware WastedLocker"},"content":{"rendered":"<p>Eind juli 2020 stonden tal van technieuwssites vol met artikelen over Garmin. Verschillende Garmin-diensten, waaronder apparaatsynchronisatie met de cloud en tools voor piloten, waren uitgeschakeld. De schaarste aan precieze informatie zorgde ervoor dat de wildste theorie\u00ebn de ronde deden. Wij besloten echter te wachten tot er concrete gegevens waren voordat we de situatie zouden beoordelen.<\/p>\n<p>In een <a href=\"https:\/\/www.garmin.com\/en-US\/outage\/\" target=\"_blank\" rel=\"noopener nofollow\">offici\u00eble verklaring<\/a> bevestigde Garmin dat ze getroffen waren door een cyberaanval die de online diensten had onderbroken en sommige interne systemen had versleuteld. De beschikbare informatie ten tijde van dit schrijven wijst erop dat de aanvallers gebruik maakten van de WastedLocker-ransomware. Onze experts voerden een gedetailleerde technische analyse van de malware uit, en hieronder leest u meer over hun bevindingen.<\/p>\n<h2>WastedLocker-ransomware<\/h2>\n<p>WastedLocker is een voorbeeld van <em>gerichte<\/em> ransomware \u2014 malware die is aangepast om een specifiek bedrijf aan te vallen. Het bericht om losgeld sprak het slachtoffer bij naam aan, en alle versleutelde bestanden bevatten de aanvullende extensie <strong>.garminwasted<\/strong>.<\/p>\n<p>Het cryptografische plan van de cybercriminelen wijst ook op die conclusie. De bestanden werden versleuteld met gebruik van de AES- en RSA-algoritmes, die makers van ransomware vaak in combinatie gebruiken. Er wordt dan echter \u00e9\u00e9n openbare RSA-sleutel gebruikt om bestanden te versleutelen in plaats van een sleutel die uniek wordt gegenereerd voor elke infectie. In andere woorden, als deze ransomware-modificatie tegen meerdere doelwitten werd gebruikt, zou het dataversleutelingsprogramma voor algemeen gebruik zijn, want er zou dan ook \u00e9\u00e9n priv\u00e9sleutel moeten zijn.<\/p>\n<p>Bovendien toont de ransomware de volgende opvallende kenmerken:<\/p>\n<ul>\n<li>Prioriteren van gegevensversleuteling, wat betekent dat de cybercriminelen een specifieke hoofdmap met bestanden kunnen aanmerken om als eerste versleuteld te worden. Hierdoor wordt de schade gemaximaliseerd in het geval dat er een beveiligingsmechanisme is dat de gegevensversleuteling stopt voordat deze voltooid is;<\/li>\n<li>Ondersteuning voor bestandsencryptie op netwerkmiddelen op afstand;<\/li>\n<li>Privilege-controle en gebruik van <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dll-hijacking\/\" target=\"_blank\" rel=\"noopener\">DLL hijacking<\/a> voor uitbreiding van bevoegdheden.<\/li>\n<\/ul>\n<p>U kunt een gedetailleerde analyse van de ransomware vinden in de post <a href=\"https:\/\/securelist.com\/wastedlocker-technical-analysis\/97944\/\" target=\"_blank\" rel=\"noopener\">WastedLocker: technical analysis<\/a> op Securelist.<\/p>\n<h2>He gaat het nu met Garmin?<\/h2>\n<p>Volgens de ge\u00fcpdatete verklaring van het bedrijf werken de diensten weer, al kan het zijn dat de gegevenssynchronisatie nog langzaam verloopt en beperkt is in sommige individuele gevallen. Dat is begrijpelijk: apparaten die gedurende meerdere dagen niet met hun clouddiensten konden synchroniseren, nemen nu allemaal tegelijk contact op met de bedrijfsservers, waardoor die er zwaar belast is.<\/p>\n<p>Garmin meldt dat er geen bewijs bestaat dat iemand tijdens het incident ongeautoriseerde toegang heeft verkregen tot gebruikersgegevens.<\/p>\n<h2>Hoe beschermt u zich tegen dit soort aanvallen?<\/h2>\n<p>Gerichte ransomware-aanvallen op bedrijven zullen blijven voorkomen. Onze aanbevelingen om u hiertegen te beschermen zijn vrij standaard:<\/p>\n<ul>\n<li>Zorg dat uw software altijd bijgewerkt is, vooral het besturingssysteem; de meeste trojans benutten namelijk bekende kwetsbaarheden;<\/li>\n<li>Gebruik RDP om openbare toegang tot bedrijfssystemen te weigeren (of gebruik indien nodig een VPN);<\/li>\n<li>Train werknemers in de grondbeginselen van cybersecurity. Het is meestal door <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/social-engineering\/\" target=\"_blank\" rel=\"noopener\">social engineering<\/a> bij werknemers dat ransomware-trojans bedrijfsnetwerken kunnen infecteren;<\/li>\n<li>Gebruik moderne beveiligingsoplossingen met geavanceerde antiransomware-technologie. <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Onze producten<\/a> detecteren WastedLocker en voorkomen infecties.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>De gedetailleerde technische analyse van onze experts van de hoofdverdachte in de ransomware-aanval op Garmin<\/p>\n","protected":false},"author":2706,"featured_media":25761,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[322,32,805],"class_list":{"0":"post-25760","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-dreigingen","11":"tag-ransomware","12":"tag-rasomware"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/wastedlocker-garmin-incident\/25760\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/wastedlocker-garmin-incident\/21644\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/wastedlocker-garmin-incident\/17107\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/wastedlocker-garmin-incident\/8467\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/wastedlocker-garmin-incident\/22971\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/wastedlocker-garmin-incident\/21158\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/wastedlocker-garmin-incident\/19791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/wastedlocker-garmin-incident\/23590\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/wastedlocker-garmin-incident\/22464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/wastedlocker-garmin-incident\/28840\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/wastedlocker-garmin-incident\/8649\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/wastedlocker-garmin-incident\/36626\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/wastedlocker-garmin-incident\/15400\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/wastedlocker-garmin-incident\/15808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/wastedlocker-garmin-incident\/13743\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/wastedlocker-garmin-incident\/24829\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/wastedlocker-garmin-incident\/11780\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/wastedlocker-garmin-incident\/28927\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/wastedlocker-garmin-incident\/22688\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/wastedlocker-garmin-incident\/27934\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/wastedlocker-garmin-incident\/27764\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/rasomware\/","name":"rasomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=25760"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25760\/revisions"}],"predecessor-version":[{"id":25764,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/25760\/revisions\/25764"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/25761"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=25760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=25760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=25760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}