Enlarge / Ransomware desconectó el sistema 911 de Baltimore en marzo 24 y 25 mientras el departamento de TI de la ciudad trabajaba para aislar y restaurar la red de despacho asistida por computadora. Kim Hairston / Baltimore Sun / TNS a través de Getty Images
El viernes pasado, la ciudad de Atlanta fue golpeada por un ransomware ataque que tomó gran parte de los servicios internos y externos de la ciudad desconectado. A partir de hoy, muchos de esos servicios han sido restaurados, pero dos portales públicos permanecen fuera de línea. El sábado, el red de despacho automatizado para el sistema 911 de Baltimore también fue desconectado por un aparente ataque de ransomware. Y ayer, Instalaciones de Boeing en Charleston, que fabrica componentes para Boeing 777 y otros aviones comerciales, y para la Fuerza Aérea Cisterna KC-46: fue golpeado por lo que inicialmente se informó que era WannaCry malware.
Si bien no está claro en este momento si estos ataques están relacionados de cualquier manera, la vulnerabilidad tanto de las empresas como del gobierno agencias, particularmente gobiernos locales, a este tipo de ataques ha sido continuamente demostrado en los últimos años. Como llano las organizaciones se han movido para lidiar con las vulnerabilidades que estaban explotado en las primeras oleadas de ransomware y ransomware-lookalike ataques, los atacantes han modificado sus tácticas para encontrar nuevas formas en redes, explotando incluso brechas fugaces en las defensas para ganar un punto de apoyo destructivo.
Contents
Fin de semana de emergencia 911 de Baltimore
En el caso del sistema Baltimore 911, el tipo de ransomware el ataque aún no está claro, pero los principales sistemas de información de la ciudad El funcionario confirmó que el envío asistido por computadora (CAD) de Baltimore sistema fue desconectado por ransomware. En un comunicado enviado por correo electrónico a Ars Technica, director de información de Baltimore y director digital El oficial Frank Johnson dijo que la red CAD se cerró el fin de semana “debido a los autores de ‘ransomware'” y que la ciudad El equipo de TI pudo “aislar la brecha en la propia red CAD”. Sistemas conectados a la red CAD, incluidos los sistemas en El Departamento de Policía de la ciudad de Baltimore fue desconectado para evitar propagación del ransomware.
“Una vez que todos los sistemas fueron examinados adecuadamente, CAD fue devuelto en línea “, dijo Johnson.” No hubo datos personales de ningún ciudadano comprometido en este ataque. La ciudad continúa trabajando con sus socios federales para determinar la fuente de la intrusión “.
Mientras que el tipo exacto de ransomware en el ataque de Baltimore tiene no ha sido revelado, el punto de entrada ha sido al menos parcialmente identificado. Johnson dijo que la información de la ciudad de Baltimore La oficina de tecnología había determinado “que la vulnerabilidad era la resultado de un cambio interno al firewall por un técnico que estaba solucionando un problema de comunicación no relacionado dentro del CAD Sistema.”
El cambio del cortafuegos aparentemente tenía solo cuatro horas de antigüedad los atacantes lo explotaron. La brecha probablemente fue identificada por el atacante a través de un escaneo automatizado. Pero una ciudad de Baltimore portavoz dijo que no se podrían compartir más detalles mientras el La investigación estaba en marcha.
La semana del ransomware en Atlanta
En el caso de Atlanta, los medios de acceso no han sido revelados, pero el tipo de ataque ha sido identificado: el mensaje de ransomware coincide con la de Samsam, una variedad de malware detectada por primera vez en 2015. Los atacantes detrás del ransomware exigieron $ 51,000 en Bitcoin para proporcionar las claves de cifrado para todos los afectados sistemas.
Según los funcionarios de Atlanta, Atlanta Information Management (AIM) se dio cuenta por primera vez del ataque “el jueves 22 de marzo a las 5:40 am, que afectó a varios internos y orientados al cliente aplicaciones que se usan para pagar facturas o acceder a asuntos relacionados con la corte información.”
El sistema de pago de facturas, que utiliza Capricornio, un sistema basado en Java portal de autoservicio de SilverBlaze, con sede en Ontario, permanece fuera de línea. El sistema de pago de multas y multas del tribunal es parcialmente copia de seguridad, pero un sistema basado en Windows Internet Information Server para acceder a la información del caso aún está inactivo. Algunos sistemas internos han sido restaurados, según un comunicado emitido por el alcalde de Oficina de comunicaciones de Atlanta.
Análisis de los sistemas de la ciudad de Atlanta y de los ataques anteriores. los vectores para Samsam sugieren dos posibles puntos de entrada, ambos asociado con los sistemas públicos que están actualmente desconectado. Los ataques de Samsam en 2016 y principios de 2017, como el de Hospital Union Memorial de Baltimore, aprovechó vulnerabilidades en plataformas Java de código abierto. Pero según un informe de Dell Secureworks, los ataques más recientes se han convertido en fuerza bruta ataques de contraseña para obtener acceso de protocolo de escritorio remoto a un servidor, luego la ejecución de scripts de PowerShell que instalan herramientas de recolección de contraseñas y el propio ransomware.
Basado en datos de Shodan, el portal de Capricornio para pagar Las facturas de agua de Atlanta usaron Apache Tomcat, y uno de los tribunales Los sistemas de información tenían un puerto RDP abierto, así como un mensaje de servidor Bloqueo (SMB) de redes visibles desde Internet público. Atlantaha trasladado gran parte del resto de los sistemas judiciales de la ciudad a La nube Azure de Microsoft.
Mientras que una persona reclama algo de conocimiento de Atlanta ataque de ransomware creía que el servidor Capricornio estaba involucrado, El socio fundador de SilverBlaze, Dan Mair, negó firmemente que el El software de la compañía se vio comprometido en el ataque de Atlanta, declarando simplemente, “Respetuosamente, su información es incorrecta”.
Después de una imagen que muestra la dirección web de la página de rescate para la infección de Atlanta Samsam se filtró, como informó Steve Ragan de las OSC, los atacantes cerraron la página.
Boeing allí
El caso en Boeing es mucho menos claro y probablemente seguir así. Según un comunicado emitido por Boeing La Vicepresidenta de Comunicaciones de Aviones Comerciales, Linda Mills, El centro de operaciones de ciberseguridad de Boeing “detectó un limitado intrusión de malware que afectó a un pequeño número de sistemas “. Mills dijo que “se aplicaron remediaciones; esto no es un problema de producción y entrega “, lo que significa que la fabricación no era interrumpido significativamente. Mills le dijo a The Seattle Times que el incidente “se limitó a unas pocas máquinas. Implementamos software parches No hubo interrupción en el programa 777 jet ni en ninguno de nuestros programas “.
No fue así como los correos electrónicos internos vistos por The Seattle Times ‘ Dominic Gates inicialmente caracterizó el episodio. Un mensaje de Mike VanderWel, ingeniero jefe de producción de aviones comerciales de Boeing advirtió que el malware estaba “haciendo metástasis rápidamente del Norte Charleston, y acabo de escuchar 777 [herramientas automatizadas de montaje de mástil] puede haber disminuido “. Pero esas preocupaciones parecían haber sido marchito.
Es poco probable que el malware involucrado sea el WannaCry original, que llegó a las computadoras en todo el mundo en mayo pasado. WannaCry, que Estados Unidos gobierno recientemente declarado oficialmente fue lanzado por North Corea: aprovechó Eternalblue, un exploit de Microsoft desarrollado por la NSA Los protocolos SMB y NetBIOS de Windows sobre TCP / IP (NBT), para identificar nuevos objetivos y se extendió por las redes. Sin embargo, puede tener Ha sido una nueva versión con el mismo exploit. Alternativamente, podría ha sido que un sistema que previamente había infectado con WannaCry se reinició en una red donde no pudo alcanzar el conjunto de dominios como el “interruptor de interrupción” del malware y comenzó a propagarse nuevamente.
Cualquiera que sea el malware en Boeing, parece haber sido detectado y detenido rápidamente. La pregunta más importante: cómo llegó La planta de Boeing en Charleston, para empezar, probablemente no será revelada en cualquier momento.
Mientras tanto, el servicio de mensajes de texto al 911 de Denver no funcionaba durante la noche, junto con 311 y otros servicios basados en Internet. Ars actualizará esta historia si esas interrupciones fueron relacionado con ransomware.
