Garmin, la popular compañía de tecnología de fitness y GPS, fue víctima de un ataque de cripto ransomware que interrumpió sus servicios durante tres días, mientras que su red interna y sus sistemas de producción fueron cifrados y retenidos por un rescate de US$10 millones. Este ha sido el más reciente incidente en un número creciente de ataques de ransomware contra grandes organizaciones.
En un comunicado oficial, Garmin confirmó que fue víctima del troyano WastedLocker, un ransomware que se ha vuelto notablemente más activo desde la primera mitad de este año. Esta versión en particular fue diseñada para apuntar específicamente a Garmin y contiene varios aspectos técnicos inusuales.
El primero de estos es su técnica para burlar el control de acceso de usuario (UAC). Una vez lanzado en un dispositivo comprometido, el troyano verifica si tiene privilegios lo suficientemente fuertes para ejecutarse. De lo contrario, intentará elevar sigilosamente sus privilegios, engañando al sistema usando binarios legítimos para iniciar el código del troyano, oculto en una secuencia ADS (Alternate Data Stream), nativa de sistemas NTFS. De esa forma, el troyano se podrá ejecutar e iniciar la infección en sistemas configurados con cuentas de usuario limitadas.
Adicionalmente, la muestra analizada de WastedLocker utilizó una sola llave pública RSA, la que es utilizada para cifrar archivos. Esto sería una debilidad si el malware se distribuyera de forma masiva, pues el descifrador solo tendría que usar una sola llave de RSA privada para desbloquear todos los archivos afectados. Sin embargo, en un ataque dirigido, como claramente fue el caso de
