Garmin soll nach Ransomware-Angriff Millionenbetrag an Kriminelle gezahlt haben

Garmin hatte Ende Juli mit einem kompletten Ausfall seiner Dienste zu kämpfen. Rasch gab es Gerüchte, dass ein Ransomware-Angriff dahinter stecken könnte. Auch die Antworten des Unternehmens zum Thema blieben zunächst aber vage. Später bestätigte man dann den Ransomware-Angriff. Kurze Zeit später funktionierten die ersten Dienste wieder. Nun ist durchgesickert, dass Garmin wohl einen Millionenbetrag an Kriminelle abdrücken musste.

Garmin selbst hat die Zahlung wohl nicht geleistet, sondern es wurde sozusagen als Mittelsmann der Anbieter Arete IR beauftragt, der sich auf die Abwicklung derartiger Fälle spezialisiert hat. Hinter dem Vorfall soll wohl die ironisch betitelte Organisation Evil Corp stecken – eine Gruppe russischer Hacker. Jene schleusten den WastedLocker-Virus bei Garmin ein.

Pikant ist daran, dass die Evil Corp speziell vom US-Schatzamt sanktioniert wurde. Das bedeutet, dass Unternehmen aus den Vereinigten Staaten, wie eben Garmin, mit Evil Corp keinerlei Geschäfte machen dürfen – nicht einmal zur Zahlung von Lösegeldern. Deswegen griff Garmin dann, nachdem eine andere Firma den Auftrag des Wearable-Herstellers angeblich abgelehnt hatte, auch auf Arete IR als Partner für die Abwicklung der Zahlung zurück.

Arete IR beruft sich darauf, dass eine direkte Verbindung zwischen dem Angriff mit der Wasted-Locker-Ransomware und Evil Corp nicht eindeutig bewiesen sei. Sky News hakte bei Garmin und Arete IR nach, erhielt aber nur Hinweise darauf, dass man das Thema nicht diskutieren wolle bzw. könne. Ein Dementi blieb aber aus, sodass sich jeder selbst seinen Reim darauf machen kann.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Gönne ich denen.
    Schließlich hat Garmin damals eine der besten Navi Software Lösungen gekauft und dann eingestammpft.
    Navigon war damals nicht billig und hatte zum Anfang ca €80,- gekostet.

    • Oh Gott, wie sehr vermisse ich Navigon. Alleine bei der Routenerstellung wurden 3 Routen angezeigt. Das habe ich sogar Maps vorgezogen 🙁

      Was ist denn zur Zeit die beste Alternative zu ehemals Navigon?

  2. Krümelmonster says:

    Je öfter sowas klappt, desto schlimmer wird es werden. Ich gönne Kriminellen keinen Cent, ganz egal, welche Firma betroffen ist. Sind schließlich keine Robin Hoods, sondern einfach nur Verbrecher, die sich damit einen Lebenstil gönnen, der sonst nicht möglich wäre.

  3. Trotzdem ich einen relativ frische Fenix 6 trage macht das Garmin zum NoGo. Kriminelle bezahlen statt der eigene Infratruktur zu vertrauen ist bitter. Für mich macht es diese Firma erpressbar und unzuverlässig. Das Schweigen ist ja noch schlimmer. Man verlangt unglaubliche Preise, gibt den Kunden aber nichts an die Hand.

    • Ich geb dir n Zwanni dafür. Iss ja nix mehr wert!

      Der eigenen infrastruktur vertrauen, wenn alle deine Daten mit nem nicht bekannten Schlüssel verschlüsselt sind? Erkläre mal bitte was du damit meinst.

      Die Preise für ihre Geräte, die natürlich nicht Aldisegment sind, sind aber gerechtfertigt. In den Dingern steckt dermaßen viel Entwicklungsarbeit für die Software und der Kundensuport ist super, was ich aus eigenen Erfahrungen und denen von vielen Sportlern in meinem Bekanntenkreis sagen kann.

      • Die Frage ist nur, wieso ein Backup inklusive Backup-Strategie nicht ausreichen, um solche Erpressungsversuche im Keim zu ersticken.

        • therealThomas says:

          Korrekt.
          Ich arbeite bei einem großen Deutschen IT-Dienstleister. Wir haben u.a. auch viele Kunden aus der Finanzbranche. Ohne Backup läuft gar nichts. Aber es gibt tatsächlich Kunden, die mit dermaßen sensiblen Daten hantieren und die dennoch zu geizig für ein vernünftiges Backup sind. Da fällt einem manchmal die Kinnlade runter.
          Nur ein Ransomware-Angriff und das Backup wäre billiger gewesen…

        • Thomas Müller says:

          Eine einfache Backupstrategie reicht da nicht. So ein Angriff zieht sich über mehrere Wochen hin. Zuerst werden die Backups angegriffen und verschlüsselt. Danach die eigentlichen Daten. Hat man dann keine sauberen Backups mehr ist es leider vorbei.

          • Dann ist die Backup-Strategie aber schlecht. Jeder Dienstleister in dieser Branche, mit denen ich in den letzten 20 Jahren diesbezüglich zusammengearbeitet habe, hält in der rollierenden Backupstrategie Offline-Datenträger bereit. Die KANN eine Schadsoftware nicht befallen.

        • Wolfgang D. says:

          @Tandeki „Backup“
          Weil die Schadsoftware auch dort stecken kann, oder es sogar mitverschlüsselt haben könnte. Hatte dazu ja schon mal was bzgl. Heise geschrieben, die Wiederherstellung geht da nicht so einfach mal eben.

          Von daher, wenn die Zahlung nicht nur ein Gerücht ist, wundert die schnelle Wiederherstellung nicht.
          Das Nutzerforum von Garmin war heute morgen jedenfalls immer noch offline. Sollte keine Zahlung erfolgt sein, wären die Sicherungs- und Wiederherstellungsstrategien sicher interessant zu wissen.

          • Natürlich werden verschlüsselte Inhalte mit in bestimmte Backups übernommen. Das ist ja klar, denn auch verschlüsselte Inhalte sind Inhalte. Und wird ein Backup vorgenommen, werden diese natürlich auch gesichert. Eine Schadsoftware kann jedoch nicht alle Backups befallen. Tut sie es dennoch, verdient das Backup seinen Namen nicht. Bei einer korrekten Backupstrategie sind die Backups erst ab einem bestimmten Zeitpunkt kompromittiert, nämlich ab dem Zeitpunkt, zu dem die Verschlüsselung beginnt.

            Backups sind nur bis zu einem bestimmten, recht nahen Zeitpunk überhaupt live verfügbar und zugreifbar. Und selbst diese sind, sobald abgeschlossen, nicht mehr veränder- oder schreibbar. Findet eine Malware dennoch eine Methode, gibt es noch ältere Backups, die auf removable Media vorhanden sind. Diese sind also physikalisch vom Netzwerk getrennt und können daher nicht befallen werden.

            Als ich mal für das Backup in einem Daten verarbeitenden Unternehmen zuständig war, hatte ich z.B. Bänder mit verschiedenen, rollierenden full backups im Safe an einem anderen Ort als die Firma. Nichts und niemand kann eine solche Backupstrategie komplett kompromittieren. Deshalb ist meine dringende Vermutung, dass Garmin hier böse geschlampt hat.

            Es wäre nicht die erste Firma, die nicht einmal Redundanz hat. Und wenn sie es dann nach langen Jahren einführt noch denkt, das sei gleichzeitig das Backup. In so einem Fall ist ransom ware natürlich desaströs.

    • Hans Mayer says:

      sehe ich ganz genauso, dann sollen sie sich was anderes einfallen lassen, z.B. Daten beim Endnutzer zu lassen und nicht alles in die Cloud laden

      • Die Daten liegen ja auch beim Endnutzer.
        Nur so ein Virus unterscheidet nicht zwischen Daten-, System- oder Anwendungsfestplatte.
        Der verschlüsselt alles. Komplett.
        Da müsste man auf allen Systemen und bei Garmin sind das gar zahlreiche mit hunderten bis tausenden Server (Virtuell oder Hardwarenode) Backups wieder aufspielen. Auch automatisiert dauert sowas ewig und dabei muss dann noch sicher genagen werden, dass der Virus erstmal aus dem Netz raus ist.
        Da ist es einfacher den Key zu kaufen.

  4. Mitunter kann man mit solchen Erpressern auch feilschen. 😉 Etwa zur gleichen Zeit wie Garmin ist die Firma CWT (früher Carlson WagonLit Travel) Opfer einer ähnlichen Attacke geworden. Interessant dabei ist, dass der Chatroom, in dem „verhandelt“ wurde, nicht sofort geleert worden ist. Hier hat Jack Stubbs von der Nachrichtenagentur Reuters darüber geschrieben: https://twitter.com/jc_stubbs/status/1289199296328298497 (und weitere Tweets, mit Bildschirmfotos). Thomson Reuters ist selbst Kunde von CWT; ein Link zu einem längeren Reuters-Artikel ist auch dabei.

    Über den geschäftsmäßigen Ton der Unterhaltung, den Stubbs hervorhebt, wundere ich mich nicht so sehr. Das wird ja auch gern so gehandhabt, wenn Mafia-Erpresser einen Deal vorschlagen, „den Du nicht ablehnen kannst“. Ob Garmin auch hat handeln können? CWT konnte immerhin anführen, dass es infolge der Corona-Krise eine Flaute im Geschäftsreisen-Business gibt …

  5. Denke die Aktionäre hatte es nicht gerne gesehen, wenn Garmin wochen- vielleicht monatelang lahmgelegt gewesen wäre. Da war das Lösegeld bezahlen rein wirtschaftlich wahrscheinlich die bessere Lösung.

    • Normalerweise hat man doch archivierte Backups, die täglich, wöchentlich, monatlich usw. angefertigt werden. Ja, die eingesetzte Malware lässt sich bei der Analyse des Zielsystems etwas Zeit, sodass man unter Umständen etwas weiter zurückgehen muss. Aber ist ein Backup nicht sinnvoller, als Lösegeld zu zahlen?

      • Evtl. waren die Backups ebenfalls verschlüsselt. Ich kenne solche Horrorszenarien von mittelständischen Unternehmen hier im Umkreis, die von Emotet betroffen waren. Da gab es dann nicht einen funktionierenden Rechner mehr. Manch einer hat dann mehr oder weniger auf der grünen Wisse neu angefangen.
        Schade ist eben, dass Garmin keine Infos liefert.

        • Aber deshalb macht man doch auch rollierende Backups, d.h. man macht eine Backup-Strategie. Selbst wenn dann bestimmte Backups verschlüsselt sind (was wahrscheinlich ist), müsste man doch lediglich so weit zurückgehen, bis man an dem Zeitpunkt vor dem Befall mit der Malware ist. Man muss nur sicherstellen, dass man nicht den Zeitpunkt der Verschlüsselung nimmt. Denn meines Wissens wird vor der Verschlüsselung schon Malware eingeschleust, die erst die zu befallenden Systemteile identifiziert.

          • Hand aufs Herz – wie viele Wochen oder Monate soll man denn rollierend Backups machen? Wenn die Hacker geschickt programmiert haben, so dass bereits wochenlang unmerkbar verschlüsselt wurde…. Immerhin geht’s bei so einer Firma ja um etwas größere Datenmengen als auf einem Heimrechner.
            Und wenn die ganzen neuen Firmendaten von Wochen weg sind, ist das ja auch ein Schaden, der höher sein kann als das Millionenlösegeld.
            Dass so was überhaupt so leicht möglich war, ein ganzes System zu kompromittieren – vielleicht noch einfach mit einer Mail „Hier im Anhang das Auftragsdokument“ oder so – das spricht am meisten gegen so einen Dienstanbieter….

            • therealThomas says:

              Backups machen heißt nicht nur, seine Daten regelmäßig zu sichern. Dazu gehört auch, regelmäßig zu überprüfen, ob die Backups sich problemlos wiederherstellen lassen.

              • Thomas Müller says:

                So einfach ist es leider nicht. Die Software ist ziemlich schlau und verschlüsselt zuerst die Backups. Rollierende Backups sind hier genau das Problem.

                • therealThomas says:

                  Also wenn ich keine externe Kopie der Backups habe, dann hab ich nicht mal die 3-2-1-Regel eingehalten und dann bin ich wirklich selbst schuld.

            • Genau das ist ja das Problem…… der Datenverlust von auch nur ein oder zwei Wochen, bis man bei einem Backup ist, von dem man weiß, das es garantiert sauber ist, ist oftmals höher als das Lösegeld.
              Wenn man das Problem über Backup lösen will, muss man von jedem Backup eine physische Kopie haben, die dann an einem anderen Ort gelagert wird, und die natürlich nicht über Netzwerk erreichbar ist.

              • Es soll Anbieter geben, die das physikalische Trennen von Backupmedien schon in den 1980ern angeboten haben. Aber das ist eben wie mit Versicherungen. Wenn man sie nicht braucht, kosten sie einfach nur Geld. Und wenn man das Geld spart und dann ein Schadensfall eintritt, wünscht man sich eine Versicherung.

            • Normalerweise Jahre. Deshalb ja auch „Backupstrategie“ und nicht „ey boah, isch sicher dat einfach jetzt“. 😉

  6. Hans Mayer says:

    Mich macht es fassungslos, dass man offenbar kein Backup hat. Sowas lernt man doch in der EDV Schule in der 5. Klasse!

  7. Die Gangster sind ja nicht blöd. Und deshalb wissen sie natürlich auch, das ein Backup ihre Pläne zunichte machen kann. Der erste Angriff geht natürlich gegen vorhandene Backups, die übers Netzwerk zugänglich sind. Wenn die verschlüsselt sind, kommen die eigentlichen Daten dran.

    • Das ist dann die blödeste Sicherungsstrategie aller Zeiten! Vorhandene Backups sollten über das Netzwerk weder erreichbar noch mit den auf Clients und anderen Servern vorhandenen Rechten veränderbar sein. Andernfalls ist das ein Backup wie bei Kevin zuhause im Kinderzimmer…

  8. Garmins Hauptverwaltung ist zwar in den USA, der offizielle Gründungssitz ist aber Schaffhausen, Schweiz. Insofern ist fraglich, ob die amerikanische Gesetzgebung überhaupt Anwendung finden kann.

  9. Ich kann die ganze Aufregung nicht so ganz verstehen, ich bin immer an meine ganzen Daten von meiner Fenix gekommen. Bei Garmin kann man doch seine Uhren usw. einfach am PC per USB anschließen.
    Ich konnte meine geplanten Wandertouren (gpx) einfach auf die Uhr aufspielen, es ging sogar schneller als über Garmin Connect ;-).
    Auch zwei „lange Läufe“ wurden wie immer gespeichert und ich konnte mir die Daten am PC ganz normal anschauen. Also für Menschen die sportlich aktiv sind gab es so gut wie keine Einschränkungen außer die „hübsche“ Aufbereitung in Connect.

    Ein Bekannter hat sich auch furchtbar aufgeregt das seine Schritt Wettbewerb nicht da sei…. aber ich denke das hat ja nicht viel mit Sport zu tun, wenn man z.b. eine Fenix nur als Schrittzähler benutzt 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.