Hier der Auszug aus der offiziellen Pressemitteilung von Garmin aus welcher herausgeht, dass am 23.7 Hacker erfolgreich Systeme des Unternehmens verschlüsselten. Leider erleben wir immer häufiger solche Fälle und oft wären diese bei Einhaltung einiger wichtiger Regeln vermeidbar.

OLATHE, Kan.–(BUSINESS WIRE)–Garmin Ltd. (NASDAQ: GRMN), today announced it was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation. We have no indication that any customer data, including payment information from Garmin Pay™, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services.

Affected systems are being restored and we expect to return to normal operation over the next few days. We do not expect any material impact to our operations or financial results because of this outage. As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.

Engineered on the inside for life on the outside, Garmin products have revolutionized the aviation, automotive, fitness, marine and outdoor lifestyles. Dedicated to helping people make the most of the time they spend pursuing their passions, Garmin believes every day is an opportunity to innovate and a chance to beat yesterday. For more information, visit Garmin’s virtual pressroom at garmin.com/newsroom, contact the Media Relations department at 913-397-8200, or follow us at facebook.com/garmin,

Weitere Quellen berichten von Lösegeld Forderung in Höhe von 10Millionen (mehr lesen…)

Wie passiert sowas in der Regel?

Verschlüsselungstrojaner, Cryptolocker oder Ransomware sind Synonyme für die bei Cyberganoven derzeit wohl beliebteste Art von Schadsoftware, die lokal auf dem Rechner sowie in Netzwerkreichweite Dateien verschlüsseln und ein Lösegeld von den Betroffenen fordern, damit sie wieder auf ihre Daten zugreifen können.

Der Schädling kommt hierbei in aller Regel via E-Mail auf die betroffenen Geräte und versteckt sich beispielsweise in Wordmakros.

Neu und erschreckend an dem Angriff vom vergangenen Freitag war jedoch ein integriertes, durch die NSA entwickeltes Tool („ETERNALBLUE“), das eine – bereits im März behobene – Sicherheitslücke von Windows ausnutzt und sich so über Dateifreigaben selbstständig im Netzwerk ausbreitet und neue Hosts infiziert. In dem Sinne verhält sich dieser Verschlüsselungstrojaner wie ein Wurm.

Die Expertenanalysen sind noch in vollem Gange, jedoch scheint sicher, dass sich der Trojaner konkret einer Sicherheitslücke des SMB Protokolles bedient und somit auf Port 445 das Netzwerk nach neuen potentiellen Opfern abscannt und infiziert.

Demnach sind auch Rechner gefährdet, die aus dem Internet über diesen Port erreichbar sind.

Mit im Gepäck hat WannaCry außerdem eine Back Door („DOUBLEPULSAR“), die TOR installiert um die Kommunikation der befallenen Rechner mit den Erpressern zu vereinfachen und diesen außerdem ermöglicht, weiteren Schadcode nachzuliefern.

Mehr technische Einblicke über die Funktionsweise von WannaCry finden Sie beispielsweise hier:

https://www.us-cert.gov/ncas/alerts/TA17-132Av

https://www.dshield.org/forums/diary/WannaCryWannaCrypt+Ransomware+Summary/22420/

 

Wie können Sie sich schützen?

Eine Reihe allgemeiner Hinweise zur Prävention von Ransomware:

  • Alle Systeme regelmäßig mit aktuellen Patches versorgen, ist dies nicht möglich müssen diese Systeme separiert werden
  • Endpointschutz mit KI und EDR
  • Schränken Sie die Benutzung von privilegierten Accounts ein.
  • Konfigurieren Sie Zugriffsrechte auf Netzwerkfreigaben so restriktiv wie möglich – Benutzer die nur Lesezugriff haben, können auch keine Dateien verschlüsseln.
  • Microsoft Office Makros deaktivieren. Sind dadurch Dateien nicht einsehbar, schafft oft eine Office Viewer Lösung Abhilfe.
  • Awareness-Schulungen für Angestellte helfen dabei, dass diese leichter bösartige und gefälschte E-Mails identifizieren und diese melden können.
  • Lassen Sie regelmäßig Penetration Tests gegen Ihr Unternehmen durchführen. Sinnvoll ist mindestens einmal pro Jahr, optimalerweise noch häufiger.
  • Eine funktionierende Backup-Lösung kann den Schaden enorm eingrenzen.

 

Wie schützen wir Sie vor Ransomware?

  • Das Data-Sec RansomShield blockiert die Kommunikation eines infizierten Clients mit aktuell aktiven C&C-Servern, sodass die Verschlüsselung in vielen Fällen nicht stattfinden kann.
  • Die Kombination von signaturbasierten Scans am SonicWALL Gateway (IPS, GAV) sowie am SOPHOS Endpoint ist ein erster wichtiger und effektiver Schritt zu einer mehrschichtigen Gefahrenabwehr.
  • Das SonicWALL Feature Capture zündet Schadcode in einer Cloud-Sandbox-Umgebung und erkennt und stoppt somit Schadcode, noch bevor er Ihren Perimeter erreicht.
  • SOPHOS Intercept-X EDR (bzw Exploit Prevention für On-Site Installationen) bringt einen CryptoGuard mit, der selbst völlig neue und unbekannte Cryptolocker stoppt und deren Änderungen an Dateien rückgängig macht.
  • Eine E-Mail Security Appliance mit starken Spamfiltern verhindert, dass Pishing- oder Spam-E-Mails überhaupt erst ihr Unternehmen erreichen, indem Sie eingehende E-Mails mittels Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM) authentifiziert und E-Mail Spoofing verhindert.