EvilCorp-Hacker angeblich für Angriff auf Garmin verantwortlich

Die Sicherheitsanbieter Coveware, Emsisoft und Fox-IT gehen davon aus, dass hinter dem Ransomware-Angriff auf Garmin die Betreiber des Dridex-Botnets stecken. Die als EvilCorp bezeichnete Gruppe, die ihre Wurzeln in Russland haben soll, setzt demnach die Erpressersoftware WastedLocker ein, die auch für die Systemausfälle bei Garmin verantwortlich sein soll.

Den Sicherheitsexperten zufolge ist EvilCorp, im Gegensatz zu vielen anderen Ransomware-Gangs, nicht dafür bekannt, Daten auch zu stehlen und ihren Opfern mit der Veröffentlichung vertraulicher Informationen zu drohen. Das soll auch schon für die Ransomware Bitpaymer gegolten haben, die EvilCorp vor WastedLocker für Erpressungsversuche nutzte.

„Bei den WastedLocker-Fällen, an denen wir beteiligt waren, haben wir keine Hinweise für einen Datendiebstahl gefunden“, sagte Fabian Wosar, Chief Technical Officer bei Emsisoft. „Wir haben noch nicht beobachtet, dass EvilCorp Kundendaten stiehlt, um Opfer zu einer Zahlung zu zwingen“, ergänzte Frank Groenewegen, Chief Security Expert bei Fox-IT. Das bestätigte auch Bill Siegel, CEO von Coveware, für Bitpaymer und WastedLocker.

Groenewegen schloss jedoch einen Diebstahl von Daten im Rahmen des Angriffs auf Garmin nicht grundsätzlich aus. Auch der Fox-IT-Manager räumte ein, das EvilCorp regelmäßig Daten wie Bedienungsanleitungen, Mitarbeiterlisten und Anmeldedaten für Active Directory entwende. Diese Information würden den Hackern unter Umständen helfen, sich im Netzwerk des Opfers zu bewegen. Dabei seien möglicherweise auch Nutzerdaten kompromittiert worden.

Zudem sollen es die EvilCorp-Hacker bei früheren Angriffen Finanzdaten ausgespäht haben. „Bevor sie anfingen, sich auf Erpressersoftware zu konzentrieren, haben sie Zahlungsabwickler ins Visier genommen, um Kreditkartendaten zu stehlen“, so Groenewegen weiter. Die Daten seien anschließend in einschlägigen Foren verkauft worden.

Garmin hatte den Ransomware-Angriff erst Anfang der Woche eingeräumt. Zuvor erklärte das Unternehmen die Störungen seiner Dienste mit Wartungsarbeiten. Garmin betonte außerdem, dass es keine Hinweise auf einen Diebstahl von Kundendaten oder gar Bezahldaten von Garmin Pay gebe.