Zvětšit / Ransomware zavedl Baltimoreův systém 911 offline v březnu 24 a 25, zatímco městské oddělení IT pracovalo na izolaci a obnově počítačová asistenční dispečerská síť. Kim Hairston / Baltimore Sun / TNS prostřednictvím Getty Images
Minulý pátek bylo město Atlanta zasaženo ransomwarem útok, který převzal většinu vnitřních a vnějších služeb města offline. Od dnešního dne bylo mnoho z těchto služeb obnoveno, ale dva veřejné portály zůstávají offline. V sobotu, automatizovaná dispečerská síť pro systém Baltimore 911 byla také přijato offline zjevným útokem ransomware. A včera Boeingovo zařízení Charleston – které vyrábí komponenty pro Boeing je 777 a další komerční trysky, a pro letectvo KC-46 tanker – byl zasažen tím, co bylo původně hlášeno WannaCry malware.
I když v tuto chvíli není jasné, zda tyto útoky souvisejí jakýmkoli způsobem zranitelnost podniků i vlády agenturám – zejména místním vládám – proti těmto druhům útoků během několika posledních let. I jako organizace se přestěhovaly, aby se vypořádaly s zranitelnostmi, které byly využíván v prvních vlnách ransomwaru a ransomwaru útoky, útočníci upravili taktiku tak, aby našli nové způsoby do sítí, využívající i prchavé mezery v obraně k získání a destruktivní opora.
Baltimore má nouzový víkend 911
V případě systému Baltimore 911, typ ransomware útok zatím není jasný, ale hlavní informační systémy města oficiální potvrdil, že Baltimore počítač-podporoval odeslání (CAD) systém byl offline odpojen ransomware. Ve vydání e-mailu zaslané Ars Technica, Baltimore Chief Information Officer a Chief Digital Důstojník Frank Johnson řekl, že síť CAD byla ukončena o víkendu „kvůli pachatelům„ ransomware “a tím je město Tým IT byl schopen „izolovat porušení do samotné sítě CAD“. Systémy připojené k síti CAD, včetně systémů na internetu Policejní oddělení města Baltimore bylo přijato offline, aby se zabránilo šíření ransomwaru.
„Jakmile byly všechny systémy řádně prověřeny, CAD byl přiveden zpět online, “řekl Johnson.„ Žádné osobní údaje žádného občana nebyly v tomto útoku ohrožena. Město s ním nadále pracuje federální partneři určují zdroj vniknutí. “
Přesný typ ransomware v útoku Baltimore má nebyl odhalen, místo vstupu bylo alespoň částečně identifikováno. Johnson řekl, že informace o městě Baltimore Technologický úřad rozhodl “, že zranitelnost byla výsledek interní změny brány firewall technikem, který odstraňoval problém nesouvisející komunikace v rámci CAD Systém.”
Změna brány firewall byla zjevně stará teprve čtyři hodiny útočníci to využili. Mezera byla pravděpodobně identifikována útočník pomocí automatického skenování. Ale město Baltimore Mluvčí uvedl, že během projektu se nedají sdílet žádné další podrobnosti vyšetřování probíhalo.
Atlantaův týden ransomwaru
V případě Atlanty nebyl způsob přístupu odhalen, ale byl identifikován typ útoku: zpráva ransomware odpovídá tomu Samsamu, kmenu malwaru, který byl poprvé spatřen v roce 2015. Útočníci za ransomware požadovali hodnotu 51 000 dolarů bitcoin pro poskytnutí šifrovacích klíčů pro všechny postižené systémy.
Podle úředníků Atlanty Atlanta Information Management (AIM) se o útoku poprvé dozvěděl “ve čtvrtek 22. Března v 5:40 hod., Což ovlivnilo různé interní a orientované na zákazníka aplikace, které se používají k placení účtů nebo přístupu k soudu informace.”
Platební systém vyúčtování, který používá Kozoroh – založený na Javě samoobslužný portál od společnosti Ontario SilverBlaze – zůstává offline. Systém plateb za pokutu a lístek soudu je částečně zálohovány, ale systém založený na systému Windows Internet Information Server pro přístup k informacím o případech je stále dole. Některé vnitřní systémy byly obnoveny podle prohlášení primátora města Prahy Atlanta’s Office of Communications.
Analýza systémů města Atlanta a předchozího útoku vektory pro Samsam naznačují dva možné vstupní body, oba spojené s veřejnými systémy, které jsou v současné době offline. Útoky Samsam v roce 2016 a začátkem roku 2017, například ten na Baltimorova unie Memorial Memorial Hospital využila zranitelnosti v open source platformy Java. Ale podle zprávy od společnosti Dell Secureworks, novější útoky se proměnily v hrubou sílu útoky hesly k získání přístupu ke vzdálené ploše pomocí protokolu server, pak provedení skriptů PowerShell, které se instalují nástroje pro sběr hesel a samotný ransomware.
Na základě údajů od Shodana, portálu Kozoroh pro placení Vodní účty v Atlantě používaly Apache Tomcat a jeden ze soudů informační systémy měly otevřený port RDP a také serverovou zprávu Blokové (SMB) sítě viditelné z veřejného internetu. Atlantase přestěhovala do většiny zbývajících městských soudních systémů Cloud společnosti Azure od společnosti Microsoft.
Zatímco jedna osoba prohlašuje nějakou znalost Atlanty útok ransomware věřil, že se jedná o server Kozoroha, Zakládající partner SilverBlaze Dan Mair důrazně popřel, že software společnosti byl napaden útokem Atlanty, říkat jednoduše: „Respektive, vaše informace jsou nesprávné.“
Po obrázku zobrazujícím webovou adresu výkupné pro infekce z Atlanty Samsam unikla, jak hlásil Steve Ragan z CSO, útočníci tuto stránku vypnuli.
Boeing tam
Případ v Boeingu je mnohem méně jasný a s největší pravděpodobností bude zůstaň tak. Podle prohlášení vydaného Boeingem Commercial Airplanes Vice President of Communications Linda Mills, Boeingovo operační středisko pro kybernetickou bezpečnost „zjistilo omezené množství vniknutí malwaru, který ovlivnil malý počet systémů. “ Mills uvedl, že „byly uplatněny nápravy; to není a problém s výrobou a dodávkou “- to znamená, že výroba nebyla výrazně přerušeno. Mills řekl Seattle Times, že incident “byl omezen na několik strojů. Nasadili jsme software záplaty. Nedocházelo k žádnému přerušení programu tryskání 777 ani žádné naše programy. “
To nebylo, jak interní e-maily prohlížené The Seattle Times ‘ Dominic Gates zpočátku charakterizoval epizodu. Zpráva od Hlavní inženýr výroby letadel Boeing Mike VanderWel varoval, že malware byl „metastázován rychle ze severu Charleston, a právě jsem slyšel 777 [automatizované nástroje pro montáž spar] možná klesl. “Zdálo se však, že tyto obavy byly přehnané.
Příslušný malware pravděpodobně nebude původní WannaCry, které zasáhly počítače po celém světě loni v květnu. WannaCry – což USA vláda nedávno oficiálně deklarovaná byla zahájena na sever Korea – využívající Eternalblue, využití společnosti Microsoft vyvinutým NSA Protokoly Windows ‘SMB a NetBIOS over TCP / IP (NBT) k identifikaci nové cíle a šířit se napříč sítěmi. Může to však mít byla nová verze používající stejné využití. Alternativně by to mohlo být to byl systém, který byl dříve infikován WannaCry byl restartován v síti, kde nemohl dosáhnout sady domén jako „zabijákový přepínač“ malwaru a začal se znovu šířit.
Jakýkoli malware v Boeingu byl, zdá se, že byl detekován a rychle zastaven. Větší otázka – jak se do toho dostala Boeingova Charlestonova rostlina, která začíná – pravděpodobně nebude odhalena kdykoli brzy.
Mezitím byla Denverova služba přepisování textu na 911 zrušena přes noc, spolu s 311 a dalšími internetovými službami. Ars bude aktualizovat tento příběh, pokud by tyto výpadky byly související s ransomware.
