Po raz drugi w przeciągu roku Balimore City w USA zostało skutecznie zaatakowane ransomware’em. To chyba znaczy, że ich sieć nie jest najlepiej zabezpieczona. Albo po prostu zaszli komuś za skórę. Malware zaraził znaczną część urządzeń w sieci miasta i zmusił władze do wyłączenia większości krytycznych serwerów w celu zapobiegnięcia zaszyfrowaniu danych.
Atak miał miejsce we wtorek rano i według oficjalnego oświadczenia rządu został wcześnie wykryty i zapobiegło to znacznemu rozprzestrzenieniu się wirusa w krytycznych podsieciach. Oficjalnie wiadomo również, że publiczne usługi bezpieczeństwa takie jak 911, 311, pogotowie medyczne, straż pożarna nie zostały dotknięte atakiem i działają operacyjnie bez przeszkód.
Aktualnie władze miasta oraz FBI pracują nad poznaniem przyczyny ataku i przedostania się złośliwego oprogramowania do sieci miasta. Ustalono, że malware to odmiana widzianego już wcześniej ransomware „Robbin Hood”. Jednocześnie, specjalista bezpieczeństwa Vitali Kremez, który zajmował się inżynierią odwrotną kodu wirusa, potwierdził że malware ten targetuje pojedyncze pliki systemowe na pojedynczej maszynie i nie ma możliwości rozprzestrzeniania się samoistnie po sieci. Oznacza to, że ransomware w infrastrukturze informatycznej miasta Baltimore został rozesłany z zainfekowanego systemu w inny sposób, prawdopodobnie poprzez „psexec” lub kompromitację kontrolera domeny. Vitali tłumaczy, że atakujący musiał w takim razie uzyskać prawa administracyjne wcześniej oraz dodaje, że szkoda, że tak sprytne osoby wykorzystują swoje umiejętności w celu wyłudzania pieniędzy.
Omawiany ransomware nie szyfruje plików od razu po przedostaniu się do systemu. Działa w bardziej inteligentny sposób. Najpierw odcina komunikację do wszelkich sieciowych zasobów, a następnie uruchamia ponad 180 komend windowsowych wyłączających usługi sieciowe i zabezpieczenia, takie jak agenty do backupu, pocztę e-mail, IIS.
Podczas gdy przeprowadzane było śledztwo, tysiące osób z personelu Ratusza i innych instytucji w Baltimore otrzymywały informację, aby odłączyć swoje urządzenia z sieci. Wiele usług nie działa w mieście w pełni jeszcze dzisiaj, po kilku dniach od ataku. Mieszkańcy narzekają na przykład, że nie mogą zdalnie zapłacić rachunków czy kupić biletu komunikacji miejskiej.
Przedstawiciele władz miasta informują, że z pewnością nie zostanie zapłacony żaden okup za odszyfrowanie zainfekowanych komputerów.
Podobne ataki miały już miejsce wcześniej. W Baltimore rok temu ransomware wyłączył telefonie alarmową 911 oraz 311 na piętnaście godzin. Być może teraz została bardziej zabezpieczona lub odizolowana, dlatego przetrwała atak i wyłączenie segmentu sieci. W ubiegłym roku zaatakowano również rządowe instytucje w mieście Atlanta za pomocą ransomware „SamSam”, za którego stworzenie odpowiedzialni byli dwaj obywatele Iranu.