Útok ransomwaru na Baltimore
Útok ransomwaru na Baltimore v květnu 2019 dopadl na firmy, státní úřady a veřejné služby. Zastavil provoz města a náklady na nápravu jím napáchaných škod se vyšplhaly na 18 milionů dolarů. Přečtěte si o tom, jak útok ransomwaru na Baltimore probíhal, jaké měl důsledky a jaké ponaučení si z něj mohou vzít firmy při ochraně před ransomwarem.
Ochraňte svou firmu před ransomwarem pomocí serverového antiviru Avast Business
Kdy k útoku na Baltimore došlo?
Útok ransomwaru na Baltimore se odehrál 7. května 2019 – zrovna když město prožívalo turbulentní časy. 2. května po skandálu, obvinění a následném uvěznění odstoupila primátorka Catherine Pugh a 9. května se tohoto postu ujal její následník Bernard C. Young. Hackeři napadli digitální infrastrukturu města v době, kdy jeho kybernetické zabezpečení nepatřilo k prioritám. Útok trval více než dva týdny.
V roce 2019 to bylo již podruhé, kdy se toto město stalo obětí napadení dat. V březnu 2018 vyřadil útok ransomwaru na 12 hodin z provozu tísňové služby města. 25. listopadu 2020 napadl třetí útok ransomwaru organizaci Baltimore County Public Schools a postihl více než 170 škol, spoustu vzdělávacích systémů a až 115 000 studentů.
Jak k útoku ransomwaru na Baltimore došlo?
7. května 2019 informoval školský úřad v Baltimore na Twitteru, že jeho e-mailové služby jsou nedostupné. Výpadek následně postihl i telefonní linky úřadu. Následně došlo po celém městě k dominovému efektu a z provozu bylo vyřazeno více než 10 000 systémů státní správy včetně systémů odboru dopravy.
Právě pokus o kybernetický útok na tísňové telefonní linky, který se podobal útoku ransomwaru na město v roce 2018, vyvolal podezření. Zástupci města ve spolupráci s FBI následně dokázali zjistit, že město bylo napadeno ransomwarem RobbinHood.
Hackeři s nekalými úmysly použili ransomware RobbinHood k tomu, aby zástupce státní správy odstavili od operačních systémů, drželi všechna data jako rukojmí a znemožnili přístup ke všem systémům a aplikacím. Dva dny po zahájení útoku zveřejnili hackeři žádost o výkupné adresovanou novému primátorovi, ve které požadovali tři bitcoiny za každý zamčený systém nebo 13 bitcoinů (až 76 000 dolarů) za obnovení přístupu ke všem systémům. Dále uvedli, že pokud platbu neobdrží, od 11. května se bude výkupné každý den zvyšovat o 10 000 dolarů a všechna uzamčená data budou trvale smazána.
Co je RobbinHood?
RobbinHood je sofistikovaný typ ransomwaru, který kopíruje důmyslnější metody pokročilejších typů ransomwaru, jako jsou Ryuk, Locky nebo Petya, a do systému se dostává přes protokol RDP (Remote Desktop Protocol). Umožňuje hackerům přerušit spojení mezi příslušným hardwarem a sítí, vyřadit z činnosti kybernetickou ochranu (včetně softwaru pro obnovení) a pomocí šifrování omezit přístup ke všem souborům a složkám. Tím znemožní obnovení důvěrných dat, dokud oběť nezaplatí výkupné výměnou za dešifrovací klíč.
Jak město zareagovalo?
Když se primátor Young dozvěděl, že město bylo napadeno, vydal oficiální prohlášení, že velký počet služeb poskytovaných městem byl dočasně nahrazen manuálními postupy a že spousta služeb státní správy nebyla k dispozici – například městský karetní platební systém sloužící k úhradě daní či parkovacích poplatků. Zároveň oznámil, že město ve spolupráci s FBI a technologickými experty, jako je Microsoft, pracuje na opětovném zprovoznění všech systémů. A přiznal, že náprava může trvat týdny či měsíce a že některé systémy bude nutné znovu vybudovat.
Zaměstnanci města se dva týdny nedostali do e-mailového systému. V reakci na to si vytvořili účty na Gmailu, aby občané mohli platit za základní služby, například faktury za vodu. Hromadné vytváření účtů bohužel vyvolalo poplach v antispamových systémech Googlu a tyto účty byly následně také zablokovány. Google je ale na požádání odblokoval.
Obecně se myslelo, že za tento ransomwarový útok odpovídá Národní bezpečnostní agentura (NSA), protože panovala domněnka, že hackeři k průniku do systémů Windows použili exploit EternalBlue (který tato agentura předtím vytvořila). Ten jí byl v dubnu 2017 ukraden hackerskou skupinou Shadow Brokers a stal se populární součástí nového a rozvíjejícího se ransomwaru. Z toho důvodu byl považován za nástroj použitý k útoku.
Senior poradce ředitele pro kyberbezpečnostní strategii Národní bezpečnostní agentury (NSA), Rob Joyce, na to reagoval, že pozornost věnovaná EternalBlue byla „krátkozraká“, protože Microsoft už vydal opravy pro EternalBlue a město Baltimore mělo více než dva roky na odstranění tohoto a jiných nedostatků ve své IT infrastruktuře. Malwarový analytik Joe Stewart při hlubší analýze tohoto útoku zjistil, že v kódu ransomwaru nebyla ve skutečnosti žádná stopa po exploitu EternalBlue, která by napomáhala jeho šíření.
Zaplatil okres Baltimore výkupné?
Okres Baltimore navzdory rostoucímu nátlaku výkupné nezaplatil, ani když hackeři zveřejnili citlivé údaje o zaměstnancích města a vyhrožovali, že zveřejní i další informace. Většina operačních systémů města byla do poloviny června znovu zprovozněna a několik systémů, například elektronické povolenky, katastrální systém a zaměstnanecké účty, bylo plně zprovozněno do konce tohoto měsíce.
Primátor Young v reakci na kritiku veřejnosti a výzvy k zaplacení výkupného zveřejnil na Twitteru video prohlášení, ve kterém uvedl:
„Za prvé nám tajná služba i FBI poradily, abychom výkupné neplatili. Za druhé, takto prostě nefungujeme. Nebudeme podporovat zločinné jednání. I kdybychom výkupné zaplatili, nemáme žádnou záruku, že náš systém odemknou.“
„Platbu není možné nijak vystopovat a ani nedokážeme zjistit, komu ji posíláme. Vzhledem ke způsobu, jakým o platbu žádají, nemáme žádnou jistotu, že nám v systému nenechají jiný malware nebo že po nás v budoucnu nebudou požadovat další výkupné. A všechny kroky, které jsme uskutečnili za účelem zabezpečení prostředí, bychom podnikli tak jako tak. Věřím, že jsme zvolili ten nejlepší postup.“
Zástupkyně vedoucího provozního oddělení primátora, Sheryl Goldstein, k tomu poskytla další komentář:
„Federální vyšetřovatelé nám poradili, abychom výkupné neplatili. Z údajů vyplývá, že šance na opětovné získání dat při zaplacení výkupného je menší než 50 na 50. A pokud výkupné zaplatíte, musíte stejně systém zkontrolovat, jestli jste se hrozby opravdu zbavili. Nemůžete systém prostě znovu zprovoznit a doufat, že hrozba je pryč. Většinu z těchto nákladů bychom vynaložili tak jako tak.“
Jaké byly důsledky útoku ransomwaru na Baltimore?
Útok ransomwaru na město Baltimore v roce 2019 trval zhruba měsíc, přičemž náklady na vyřešení výpadků služeb včetně nápravy, nového hardwaru a ztrátu nebo odložené tržby se vyšplhaly na 18,2 milionu dolarů. Během této doby byl 35 % z více než 10 000 zaměstnanců města obnoven přístup k účtům a v dalších měsících se toto číslo vyšplhalo až na 95 %.
Podobně jako při útoku ransomwaru na Atlantu v roce 2018 postihl útok na Baltimore služby státní správy a veřejné a parkovací služby, které musely být vyřizovány manuálně.
Na rozdíl od útoku ransomwaru na britskou organizaci NHS, který významně postihl nepostradatelné služby, nebyly útokem ransomwaru RobbinHood ovlivněny tísňové služby města Baltimore a fungovaly dál. Útok ale postihl katastrální úřad města Baltimore a jeho zaměstnanci nemohli až do konce června vyřizovat prodeje nemovitostí.
Jelikož se jednalo už o druhý útok ransomwaru na Baltimore v rozmezí přibližně 15 měsíců, město si vysloužilo kritiku. Od té doby ale zavedlo preventivní opatření, aby k dalšímu útoku už nedošlo. Mezi tato opatření patřilo založení nové kyberbezpečnostní komise, v jejímž čele stanul předseda městské rady Brandon Scott. Tato komise provedla důkladnou revizi zranitelností systémů města a v reakci na útok zavedla nová pravidla, postupy a technologie za účelem vybudování robustní IT infrastruktury.
Útok na Baltimore County Public Schools v roce 2020
24. listopadu 2020, dva dny před Díkůvzdáním, se obětí třetího útoku ransomwaru na město stala organizace Baltimore County Public Schools. I přes dva předchozí útoky ransomwaru, které přitáhly pozornost, byla opatření na ochranu obrovského množství citlivých dat nedostatečná. Ransomware zašifroval veškerá důvěrná data a související školní systémy a po všech stránkách tak omezil fungování systému veřejných škol v okrese Baltimore.
Navzdory existenci záloh dat přesáhly náklady na obnovení 8 milionů dolarů. Ve více než 9 000 noteboocích personálu a studentských zařízeních bylo nutné vymazat pevné disky a nainstalovat nový operační systém. Některé údaje a vzdělávací plány byly navždy ztraceny a školní síť bylo nutné zcela přebudovat.
Tento útok způsobil až 115 000 studentům rozsáhlé výpadky funkcí pro dálkovou výuku, právě v době, kdy byly tyto funkce kvůli pandemii onemocnění COVID-19 nezbytné. Dlouhodobý přechod k práci na dálku či hybridní práci vedl k nárůstu počtu koncových zařízení a vzniku dalších rizik v oblasti kybernetického zabezpečení.
I když není potvrzeno, zda bylo zaplaceno výkupné, organizace Baltimore County Public Schools se zavázala:
- Znovu vybudovat a opevnit svou IT infrastrukturu
- Zavést pro veškerý personál nové procesy, jako je vícestupňové ověřování (MFA)
- Nainstalovat firewally nové generace a vylepšenou ochranu zařízení
V roce 2021 ale předsedkyně Sdružení učitelů okresu Baltimore, Cindy Sexton, prohlásila, že výpadek některých systémů nebyl dosud vyřešen – například systému výplat. Řada pracovníků tak dostávala vyšší nebo nižší výplatu nebo nedostala některé platby z dřívějška.
Jaká ponaučení si můžeme vzít z útoků ransomwaru na Baltimore?
Přestože bylo požadované výkupné mnohem nižší než náklady na zotavení z kybernetického útoku, primátor Young vystihl několik důvodů, proč by se výkupné nemělo platit:
- Hackeři by neměli být odměňováni za zločinné jednání, protože by to do budoucna mohlo vést k dalším útokům ransomwaru na město.
- Pokud by město zaplatilo, nebude mít žádnou záruku, že jeho systémy a související data budou odemčeny.
Útoky ransomwaru na Baltimore poukazují na nebezpečí zastaralého bezpečnostního softwaru a IT postupů. Náprava po útoku ransomwaru může vaši firmu vyjít na tisíce či dokonce miliony dolarů, nemluvě o poškození pověsti. Proto je nezbytné proaktivně aktualizovat postupy kybernetického zabezpečení, mezi které patří:
- Instalace robustního antiviru s integrovanými nástroji na ochranu před ransomwarem
- Zavedení pravidelného zálohování
- Sestavení plánu provozní kontinuity
- Školení personálu v oblasti základů kybernetického zabezpečení
Umožněte Avastu chránit vaši firmu před útoky ransomwaru
Zaveďte základní bezpečnostní opatření na ochranu vaší firmy před hrozbou ransomwarových útoků. Investujte do firemního antivirového softwaru, který dokáže zabezpečit servery s Windows, opravovat zranitelnosti a odhalovat škodlivé aktivity v sítích a předcházet jim.
© 2024 Gen Digital Inc.