Menu dostępności

Miasto Baltimore wyłącza serwery po poważnym ataku ransomware

Po raz drugi w przeciągu roku Balimore City w USA zostało skutecznie zaatakowane ransomware’em. To chyba znaczy, że ich sieć nie jest najlepiej zabezpieczona. Albo po prostu zaszli komuś za skórę. Malware zaraził znaczną część urządzeń w sieci miasta i zmusił władze do wyłączenia większości krytycznych serwerów w celu zapobiegnięcia zaszyfrowaniu danych.

Atak miał miejsce we wtorek rano i według oficjalnego oświadczenia rządu został wcześnie wykryty i zapobiegło to znacznemu rozprzestrzenieniu się wirusa w krytycznych podsieciach. Oficjalnie wiadomo również, że publiczne usługi bezpieczeństwa takie jak 911, 311, pogotowie medyczne, straż pożarna nie zostały dotknięte atakiem i działają operacyjnie bez przeszkód.

Aktualnie władze miasta oraz FBI pracują nad poznaniem przyczyny ataku i przedostania się złośliwego oprogramowania do sieci miasta. Ustalono, że malware to odmiana widzianego już wcześniej ransomware „Robbin Hood”. Jednocześnie, specjalista bezpieczeństwa Vitali Kremez, który zajmował się inżynierią odwrotną kodu wirusa, potwierdził że malware ten targetuje pojedyncze pliki systemowe na pojedynczej maszynie i nie ma możliwości rozprzestrzeniania się samoistnie po sieci. Oznacza to, że ransomware w infrastrukturze informatycznej miasta Baltimore został rozesłany z zainfekowanego systemu w inny sposób, prawdopodobnie poprzez „psexec” lub kompromitację kontrolera domeny. Vitali tłumaczy, że atakujący musiał w takim razie uzyskać prawa administracyjne wcześniej oraz dodaje, że szkoda, że tak sprytne osoby wykorzystują swoje umiejętności w celu wyłudzania pieniędzy.

Omawiany ransomware nie szyfruje plików od razu po przedostaniu się do systemu. Działa w bardziej inteligentny sposób. Najpierw odcina komunikację do wszelkich sieciowych zasobów, a następnie uruchamia ponad 180 komend windowsowych wyłączających usługi sieciowe i zabezpieczenia, takie jak agenty do backupu, pocztę e-mail, IIS.

Podczas gdy przeprowadzane było śledztwo, tysiące osób z personelu Ratusza i innych instytucji w Baltimore otrzymywały informację, aby odłączyć swoje urządzenia z sieci. Wiele usług nie działa w mieście w pełni jeszcze dzisiaj, po kilku dniach od ataku. Mieszkańcy narzekają na przykład, że nie mogą zdalnie zapłacić rachunków czy kupić biletu komunikacji miejskiej.

Przedstawiciele władz miasta informują, że z pewnością nie zostanie zapłacony żaden okup za odszyfrowanie zainfekowanych komputerów. Podobne ataki miały już miejsce wcześniej. W Baltimore rok temu ransomware wyłączył telefonie alarmową 911 oraz 311 na piętnaście godzin. Być może teraz została bardziej zabezpieczona lub odizolowana, dlatego przetrwała atak i wyłączenie segmentu sieci. W ubiegłym roku zaatakowano również rządowe instytucje w mieście Atlanta za pomocą ransomware „SamSam”, za którego stworzenie odpowiedzialni byli dwaj obywatele Iranu.

Popularne

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Grupa ransomware zyskuje pełną kontrolę nad platformą Azure! Analiza ataku

Ciekawe informacje przynoszą badacze Microsoft. Opisali oni, w jaki sposób często omawiane przez nas ataki na AD mogą posłużyć do przejęcia całego środowiska chmurowego. Jako przykład służy Storm-0501 ...
PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

PromptLock – pierwszy ransomware oparty na sztucznej inteligencji!

MalwareAI, czyli złośliwe oprogramowanie oparte na sztucznej inteligencji, jest bliżej, niż oczekiwano. Odkryto pierwszą rodzinę ransomware wykorzystującą systemy sztucznej inteligencji do operacji lokalny...
Popularne oszustwa na WhatsAppie i jak ich uniknąć

Popularne oszustwa na WhatsAppie i jak ich uniknąć

Z ponad dwoma miliardami użytkowników WhatsApp oferuje ogromną pulę potencjalnych celów dla scamerów. Aby jeszcze bardziej skomplikować sprawę, oszuści cały czas zdobywają nowe wyrafinowane umiejętno...
Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Cyberprzestępcy sięgają po formularze „Contact Us” – nowy atak phishingowy na firmy produkcyjne

Najnowsza kampania phishingowa, ujawniona przez badaczy z Check Point, koncentruje się na firmach z sektora produkcyjnego oraz innych kluczowych elementach łańcuchów dostaw. Jej szczególna złośliwość polega n...
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...