Rançongiciel WastedLocker chez Garmin (Evil Corp)

Le 23 juillet 2020, Garmin Ltd. — le fabricant américain d'électronique grand public et aéronautique — a été frappé par le rançongiciel WastedLocker déployé par Evil Corp, l'opération cybercriminelle russe dont les dirigeants avaient été sanctionnés par l'OFAC sept mois plus tôt. L'attaque a mis hors ligne les services grand public et aéronautiques de Garmin pendant cinq jours ; Garmin a payé la rançon malgré les sanctions et a déclenché en réponse un avis de clarification de l'OFAC.

Ce qui s'est passé

Les opérateurs d'Evil Corp se trouvaient sur le réseau de Garmin depuis environ un mois avant l'événement de chiffrement. Le vecteur d'accès initial était probablement SocGholish (FakeUpdates) — une boîte à outils d'ingénierie sociale qui injecte de fausses invites de mise à jour de navigateur dans des sites web légitimes compromis, déposant une balise Cobalt Strike lorsque les victimes acceptent la « mise à jour ». SocGholish est une boîte à outils d'accès initial de longue date d'Evil Corp.

À partir de là, les opérateurs ont suivi le manuel classique du rançongiciel :

• Cobalt Strike pour le commandement-contrôle et le déplacement latéral.
• Mimikatz pour la récolte d'identifiants.
• Escalade de privilèges jusqu'à administrateur de domaine.
• Reconnaissance de l'environnement de Garmin, identifiant les services de valeur et les systèmes de sauvegarde.
• Déploiement de WastedLocker à grande échelle le 23 juillet 2020.

Le chiffrement a mis hors ligne simultanément la plupart des services de Garmin destinés aux clients :

• Garmin Connect — la plateforme qui synchronise les données de fitness des montres Garmin.
• flyGarmin — le service de mise à jour des bases de données aéronautiques que les pilotes utilisent pour les données de navigation, de météo, de relief et d'obstacles.
• inReach — le service de messagerie satellite et d'appel d'urgence (SOS) de Garmin, utilisé par les randonneurs, navigateurs et aviateurs en zones isolées.
• Les centres d'appels clients de Garmin.

La perturbation de flyGarmin était la conséquence la plus grave pour la sécurité des vols. Les pilotes utilisant l'avionique Garmin (G1000, G3000 et systèmes similaires largement déployés) dépendent de flyGarmin pour la fourniture de bases de données actuelles de navigation, de météo et de relief — sans lesquelles l'avionique fonctionne toujours mais avec des données périmées. De multiples alertes de sécurité des vols ont circulé dans les canaux aéronautiques pendant la panne.

Le paiement de la rançon

Les communications publiques de Garmin ont qualifié l'incident de « panne de systèmes » et ont évité le terme « cyberattaque » pendant des jours. Les comptes rendus publics du début août ont établi que Garmin avait obtenu une clé de déchiffrement WastedLocker aux alentours du 27 juillet, et que la voie vers cette clé avait impliqué une société de cybersécurité américaine agissant comme intermédiaire dans la négociation et le paiement.

De multiples comptes rendus de presse — citant des sources proches de la négociation — ont chiffré le paiement de la rançon à environ 10 millions de dollars en bitcoin. Le déchiffrement a réussi ; la plupart des services ont été rétablis dans les 48 heures suivant l'obtention de la clé.

Le paiement était juridiquement problématique. En décembre 2019, le Trésor américain avait désigné Maksim Yakubets et d'autres dirigeants d'Evil Corp sur la liste SDN (Specially Designated Nationals) de l'OFAC, faisant de toute transaction d'une personne américaine avec Evil Corp — y compris un paiement de rançon — une violation des sanctions. Garmin et la société intermédiaire étaient exposés à de potentielles poursuites de l'OFAC.

L'OFAC n'a pas engagé d'action contre Garmin spécifiquement. Mais le 1er octobre 2020, deux mois après le paiement de Garmin, l'OFAC a publié un avis très médiatisé précisant que les paiements de rançon à des entités sanctionnées constituent des violations quel que soit l'intermédiaire — largement interprété comme une réponse directe, nommée mais non nommée, au cas Garmin. Cet avis est depuis le principal levier politique américain façonnant les décisions de paiement de rançon des entreprises américaines.

Impact

• Panne de cinq jours des services grand public et aéronautiques.
• Conséquences pour la sécurité des vols pendant la panne qui, heureusement, n'ont pas donné lieu à des incidents rapportés publiquement.
• ~10 millions de dollars de rançon versés (rapporté, non confirmé par Garmin).
• ~15 millions de dollars d'impact commercial supplémentaire dû à la panne et à la remédiation.
• Exposition aux sanctions de l'OFAC qui n'a finalement pas donné lieu à des poursuites contre Garmin mais a remodelé le paysage juridique pour les victimes ultérieures.

Pourquoi c'est important

Garmin / WastedLocker est le cas de référence du conflit entre sanctions de l'OFAC et paiement de rançon. Il a établi :

• Que la désignation par l'OFAC d'une opération de rançongiciel crée une exposition juridique directe pour les victimes qui paient — et que le recours à des intermédiaires n'isole pas la victime du risque de sanctions.
• Que la cadence de changement de marque d'Evil Corp (BitPaymer → DoppelPaymer → WastedLocker → Hades → Phoenix → PayloadBIN → Macaw) était spécifiquement motivée par la désignation de l'OFAC ; les affiliés avaient besoin d'un déni plausible quant au fait qu'une souche donnée provienne d'Evil Corp.
• Que les systèmes critiques de sécurité avec dépendances cloud (flyGarmin, inReach) présentent des profils de risque distinctifs. La panne de mise à jour des bases de données aéronautiques pendant la fenêtre de chiffrement a mis en lumière une catégorie d'impact de cyberincident mal saisie par les modèles standards de coût de fuite.
• Que les communications publiques pendant les incidents de rançongiciel sont un levier réputationnel majeur. Le cadrage « panne de systèmes » de Garmin a été largement critiqué comme évasif et est désormais cité comme contre-exemple dans les manuels de communication de crise.