Oficialmente, la propia empresa sólo comentó sobre la “interrupción” e “investigación”, por lo que toda la información sobre el caso provino de fotos de los empleados y otras fuentes. La información de estas fuentes demostró que el incidente es un ataque de cryptolocker y que el malware en sí mismo es WastedLocker. Como resultado, los clientes privados no pudieron acceder a sus datos relacionados con la actividad física, los pilotos no pudieron obtener actualizaciones de mapas y algunas líneas de producción en Asia también se vieron afectadas.
Técnicamente hablando, WastedLocker es un ransomware dirigido, lo que significa que sus operadores atacan a empresas específicas, en lugar de hosts aleatorios a los que puedan alcanzar. Este no es el único ransomware utilizado de esa manera: Maze y algunas otras familias de ransomware utilizan un esquema similar. Los algoritmos de cifrado en uso no son nada especial para el ransomware moderno y fuerte. Los operadores del ransomware agregan el nombre de la compañía víctima en los mensajes de rescate, donde ofrecen instrucciones sobre cómo contactar a los criminales a través de servicios de correo electrónico seguro, etc. Así que es bastante obvio que saben a quién se están dirigiendo.
Monitoreamos docenas de dominios web relacionados con esta familia de malware. En muchos de estos dominios, registramos el servidor como parte de CobaltStrike, una plataforma de prueba de penetración comercial legítima ampliamente utilizada también por criminales. Esta y otras técnicas utilizadas por los operadores de ataque son bastante similares a los ataques dirigidos más clásicos, cuyo objetivo son los datos. Pero en el caso de WastedLocker, hasta el momento, no hay signos de nada más que el cifrado y la solicitud de pago de rescate.