Kdy k útoku na Atlantu došlo?
22. března 2018 úřady v Atlantě zjistily, že se jejich operační systémy a bezpečnostní služby staly obětí ransomwarového útoku. Při úniku dat se v Atlantě ztratily i některé záznamy a spousta státních zaměstnanců si musela vytvořit tištěné kopie dokumentů.
Co se stalo?
Ještě před útokem bylo zjištěno, že Atlanta má oslabenou IT infrastrukturu a je tak značně zranitelná vůči potenciálním kybernetickým útokům. V lednu 2018 zveřejnil auditor zprávu, z níž vyplynuly následující poznatky:
- Městský systém správy zabezpečení informací (ISMS) zahrnoval „chybějící nebo zastaralé zásady, postupy a pokyny“
- V systémech se nacházelo 1,5–2 tisíce závažných zranitelných míst
- Na téměř 100 serverech státní správy se používal zastaralý software
- Chyběly „formální postupy pro identifikaci, posouzení a zmírňování rizik“
Nedostatek robustních bezpečnostních protokolů spolu s lhostejností zaměstnanců vůči kybernetickému zabezpečení vytvořily ideální prostředí pro kybernetický útok. 22. března dostalo oddělení správy informací v Atlantě oznámení o narušení napříč několika interními a zákaznickými aplikacemi „včetně některých aplikací, které zákazníci používají k placení účtů nebo přístupu k soudním informacím“.
Útok ransomwaru, který infikoval veřejné Wi-Fi systémy (včetně letištní Wi-Fi) a městské systémy a sítě, ovlivnil schopnost občanů přistupovat k důvěrným nebo citlivým údajům, používat zákaznické aplikace, provádět finanční transakce a platit účty online. Až třetina místních aplikací byla rovněž zašifrována, takže systémy, soubory a dokumenty byly nedostupné. Aby se společnosti vyrovnaly s tímto náhlým kolapsem, musely se vrátit k ručně psaným poznámkám a záznamům.
Zjistilo se, že k útoku byl použit ransomware SamSam. Státní zaměstnanci, kteří se pokusili získat přístup k postiženým systémům a sítím, byli vyzváni k zaplacení až 50 000 dolarů v bitcoinech, načež by získali soukromý klíč, který by virus odstranil a umožnil jim opětovný přístup k aplikacím.
Co je SamSam?
Ransomware SamSam je typ malwaru, který monitorováním síťových aktivit získává další informace o probíhajících operacích a vyhodnocuje potenciální zranitelná místa. V tomto ohledu se liší od jiných známých ransomwarů, jako jsou WannaCry a Petya, které útočí okamžitě po prolomení cílové sítě. SamSam umožňuje útočníkovi proniknout hluboko do sítě, kde může napáchat největší škody, a následně žádat vysoké výkupné. Také odstraní všechny existující zálohy, které by mohly být použity v rámci obrany.
Přístup k zastaralým síťovým serverům a systémovým datům mohou hackeři ručně získat následovně:
Jakmile se hackerovi podaří proniknout do sítě, může získat oprávnění správce, což mu umožní implementovat další škodlivý software, aniž by mu hrozilo odhalení, a deaktivovat bezpečnostní nástroje, jako je například dvoufázové ověření, aby na jeho řádění nikdo nepřišel.
Ransomware SamSam je jedinečný, protože šifruje data, soubory a servery, ale také všechny základní prvky a aplikace, které by mohly pomoci při restartování jakéhokoli hardwaru. Obnova dat je proto velmi pomalá. Vytvoření souborů a jejich zašifrování pomocí jedinečných klíčů AES (Advanced Encryption Standard) a veřejných klíčů RSA znemožní přístup k souborům a zaručí, že soubory budou úspěšně dešifrovány až po zaplacení výkupného.
Jakmile kybernetický zločinec akci dokončí, řekne si o výkupné a požádá o jeho zaplacení přes opensourcový web Tor. Po zaplacení výkupného je předán kryptografický klíč, který umožní dešifrování sítě.
Jak město zareagovalo?
Není jasné, zda úřady v Atlantě výkupné zaplatily, ale celkový finanční dopad tohoto útoku ransomwaru byl bezprecedentní. Po zveřejnění požadavku na zaplacení 50 000 dolarů v bitcoinech hackeři odstranili stránku, která umožňovala platbu provést, což město přimělo k zavedení mimořádných opatření ke zvládnutí dopadu útoku.
Jaké byly důsledky útoku ransomwaru na Atlantu?
Atlanta vynaložila více než 2,6 milionu dolarů v rámci mimořádných zakázek na potlačení následků útoku ransomwaru SamSam a na obnovu svých počítačových systémů a služeb. Kybernetický útok zasáhl na pět dnů pět ze třinácti městských úřadů. Tento účet tvořily výdaje na služby reakce na incidenty společnosti Edelman ve výši 50 000 dolarů, náklady na pracovníky oddělení správy informací v Atlantě (AIM), výdaje za odborné poradenství od soukromé firmy Secureworks a výdaje na odborníky společností Cisco a Microsoft Cloud na veřejný sektor, kteří se postarali o opětovné zprovoznění systémů.
Systémy, které v období od 22. března do 2. dubna útok ransomwaru na Atlantu zasáhl, zahrnovaly městský soud a služby plateb za komunální a parkovací služby, které musely přejít na ruční zpracovávání informací. Jejich součástí byly online a hotovostní platební systémy pro základní služby, jako jsou platby za vodu.
Mezi důležité dopravní zařízení, které ransomware nezasáhl, patřilo mezinárodní letiště Hartsfield-Jackson, které na doporučení FBI, tajné služby a ministerstva vnitra vypnulo veřejnou Wi-Fi síť. Na rozdíl od útoku ransomwaru na nemocnice ve Spojeném království, který výrazně zasáhl kriticky důležité služby, jako jsou hasiči, policie a zdravotnictví, nebyly zdravotnické služby v Atlantě přímo zasaženy.
Pět dnů po útoku spustila Atlanta informační středisko poskytující aktuality a informovala zaměstnance a obyvatele, že mohou znovu zapnout své počítače. Spousta služeb však byla i nadále nedostupná. Ačkoli některé služby, například e‑mail, Oracle a Accela, byly pro zaměstnance funkční prakticky ihned, zprovoznění jiných služeb trvalo déle. To se týkalo například veřejné Wi-Fi sítě na atlantském letišti, online plateb za vodu (které bylo možné provádět až v květnu) a online plateb soudních poplatků (které bylo možné využívat až v červnu). Některé služby nebo data však zůstaly nadobro vymazány, a to včetně několika právních dokumentů a policejních videosouborů.
Po incidentu vystoupila starostka Atlanty Keisha Lance Bottomsová spolu s několika vedoucími pracovníky a prohlásila, že nedošlo k ohrožení dat občanů a že kybernetické zabezpečení bude i nadále v popředí jejich zájmu. V září 2018 město jmenovalo nového ředitele pro bezpečnost informací Garyho Brantleyho a v červnu následujícího roku také nového provozního ředitele a ředitele pro připravenost na mimořádné události.
V prosinci 2018 americké ministerstvo spravedlnosti oznámilo, že velká federální porota v Atlantě obvinila dva íránské občany z promyšleného útoku pomocí ransomwaru, který infikoval přibližně 3 789 počítačů patřících Atlantě, a to včetně serverů a pracovních stanic. Vláda přiznala, že tento útok „významně narušil provoz Atlanty, negativně ovlivnil fungování určitých služeb státní správy a způsobil městu v následujících týdnech a měsících značné výdaje. Do dnešního dne způsobil útok škody v milionech dolarů.“
Jak se můžeme z útoku ransomwaru na Atlantu poučit?
Útok ransomwaru na Atlantu nebyl ojedinělý – podobné útoky se stále vyvíjejí a jejich rozsah i důmyslnost narůstají. Pro podniky ve veřejném i soukromém sektoru je proto důležité zavést robustní procesy kybernetického zabezpečení.
Hackeři mohou v důsledku oslabeného nebo zastaralého bezpečnostního softwaru a IT postupů zneužít potenciální zranitelná místa v sítích společností a následně držet data a služby jako rukojmí, dokud není zaplaceno výkupné. Dalším příkladem útoku s rozsáhlými dopady je útok ransomwaru na Baltimore z roku 2019, kdy kybernetičtí zločinci kvůli nedostatečným a zastaralým protokolům kybernetického zabezpečení infikovali systémy a servery města ransomwarem.
Některé podniky se rozhodnou výkupné zaplatit, ale nemají jistotu, že od hackerů dostanou nástroje pro dešifrování ransomwaru, které jim umožní zašifrované systémy a služby obnovit. Vzhledem k tomu, že ransomware je pro podniky stále aktuální hrozbou, je nezbytné jí předcházet a chránit sítě zavedením efektivního plánu zotavení po havárii a investováním do robustních bezpečnostních nástrojů.
© 2024 Gen Digital Inc.