Dopo l’attacco subito il 23 luglio, Garmin non ha ancora ripristinato completamente il funzionamento dei servizi. La pagina relativa allo stato di Garmin Connect mostra la situazione attuale con poche funzionalità tornate online. Nel frattempo arriva la conferma che il blocco dei sistemi è stato causato dal ransomware WastedLocker.
Garmin ha pubblicato nel weekend alcune FAQ relative al problema. L’azienda statunitense ha innanzitutto chiarito che i dati relativi alle attività raccolti dai dispositivi durante l’interruzione sono memorizzati su di essi, quindi verranno visualizzati in Garmin Connect alla prossima sincronizzazione. Garmin ha inoltre rassicurato gli utenti, affermando che i dati personali (attività, pagamenti e altro) sono al sicuro.
Anche se non è arrivata nessuna conferma ufficiale sembra ormai certo che il blocco dei servizi sia stato causato da WastedLocker. Un dipendente ha inviato al sito BleepingComputer uno screenshot inequivocabile. Si possono infatti leggere i nomi dei file con estensione .garminwasted. Il ransomware ha quindi colpito i computer della rete aziendale. Sembra che l’attacco sia partito da Taiwan e che il riscatto chiesto dai cybercriminali sia 10 milioni di dollari.
WastedLocker è stato sviluppato dal gruppo russo Evil Corp (attivo dal 2007), noto per il trojan bancario Dridex, con il quale sono stati rubati oltre 100 milioni di dollari. Per questo motivo i membri del gruppo sono ricercati dall’FBI.
Il dipartimento IT di Garmin ha provato a spegnere da remoto i PC collegati alla rete interna, senza riuscirci. È stato quindi deciso di spegnere tutti i dispositivi ospitati nel data center e ciò ha causato l’interruzione di Garmin Connect e altri servizi.