Hvornår fandt angrebet mod Atlanta sted?

Den 22. marts 2018 opdagede byen Atlanta, at deres operativsystemer og sikkerhedstjenester var blevet offer for et ransomware-angreb. Nogle af Atlantas registre gik også tabt under databruddet, og mange offentligt ansatte var nødt til at lave papirkopier af dokumenter.

Hvad skete der?

Før angrebet viste det sig, at Atlanta havde en svækket IT-infrastruktur, hvilket gjorde den mere og mere sårbar over for et potentielt cyberangreb. En revisionsrapport fra januar 2018 viste, at:

• Byens Information Security Management System (ISMS) indeholdt “manglende eller forældede politikker, procedurer og vejledningsdokumenter”
• Der fandtes mellem 1.500-2.000 alvorlige sårbarheder
• Tæt på 100 offentlige servere kørte forældet software
• Der var en “mangel på formelle processer til at identificere, vurdere og afbøde risici”

Manglen på robuste sikkerhedsprotokoller og medarbejdernes manglende opmærksomhed på cybersikkerhed skabte det perfekte miljø for et cyberangreb. Den 22. marts blev Department of Atlanta Information Management underrettet om forstyrrelser i flere interne applikationer og kundeapplikationer, “herunder nogle applikationer, som kunderne bruger til at betale regninger eller få adgang til domstolsrelaterede oplysninger”.

Ransomware-angrebet, der inficerede offentlige Wi-Fi-systemer, herunder lufthavnens Wi-Fi-netværk, samt byens kommunale systemer og netværk, påvirkede borgernes muligheder for at få adgang til fortrolige eller følsomme data, bruge applikationer til brug for kunder, gennemføre finansielle transaktioner og betale regninger online. Op til en tredjedel af de lokale applikationer blev også krypteret, hvilket betød, at en hel del systemer, filer og dokumenter ikke kunne tilgås. For at holde trit med denne pludselige ødelæggelse måtte virksomhederne vende tilbage til at skrive noter og optegnelser i hånden.

Efter at være blevet identificeret som et ransomware-angreb, nærmere betegnet SamSam ransomware, blev offentlige ansatte, der forsøgte at få adgang til berørte systemer og netværk, bedt om at betale op til 50.000 dollars i Bitcoin for at få den private nøgle, der ville fjerne virussen og give adgang til deres applikationer.

Hvad er SamSam?

SamSam ransomware er en type malware, der overvåger netværksaktiviteter for at få yderligere oplysninger om igangværende operationer og vurdere potentielle sårbarheder. Dette er i modsætning til andet kendt ransomware, såsom WannaCry og Petya, som angriber med det samme, når de bryder ind i målnetværket. SamSam gør det muligt for aktøren at dykke dybt ned i netværket for at sikre maksimal skade og store løsepengebetalinger. Det fjerner også alle eksisterende sikkerhedskopier, der kunne bruges til at modvirke angrebet.

Hackere kan manuelt få adgang til forældede netværksservere og systemdata ved at:

• Bruge RDP-sårbarheder (Remote Network Protocol) til at få adgang til netværket
• Infiltrere FTP-servere
• Gennemføre brute force-angreb mod svækkede adgangskoder

Når de først er kommet ind på netværket, kan en hacker få administrative tilladelser og privilegier, så de kan implementere yderligere malware uden at blive opdaget og deaktivere sikkerhedsværktøjer, såsom tofaktorgodkendelse, for at undgå at blive opdaget.

SamSam ransomware er unik, da den krypterer data, filer og servere, men også alle grundlæggende elementer og programmer, der kan hjælpe med at genstarte enhver hardware. Det gør gendannelsen af data til en meget langsommelig proces. Ved at oprette filer og kryptere dem med unikke AES-nøgler (Advanced Encryption Standard) og offentlige RSA-nøgler bliver det umuligt at få adgang til filerne, hvilket påkræver, at der skal betales en løsesum, før filerne kan dekrypteres.

Når de cyberkriminelle er færdige med deres operation, kræver de løsepenge via et open source Tor-websted. Når man har betalt, får man en kryptografisk nøgle, der gør det muligt at dekryptere netværket.

Hvordan reagerede byen?

Det er uklart, om de offentlige myndigheder i Atlanta betalte løsesummen, men de samlede økonomiske konsekvenser af ransomware-angrebet var uden fortilfælde. Efter anmodningen om en betaling på 50.000 dollars i Bitcoin fjernede hackerne den side, der gjorde det muligt at foretage en betaling, hvilket fik byen til at implementere nødforanstaltninger for at håndtere virkningen.

Hvad var konsekvenserne af ransomware-angrebet i Atlanta?

I Atlanta brugte man over 2,6 millioner dollars på nødkontrakter for at modvirke effekten af SamSam ransomware-angrebet og genoprette sine computersystemer og tjenester. Cyberangrebet påvirkede fem af byens 13 lokalforvaltninger i fem dage. Denne regning bestod af hændelseshåndtering og reaktionsforanstaltninger fra Edelman til en pris af 50.000 dollars, personaleomkostninger hos Atlanta Information Management (AIM), ekspertise fra det private firma Secureworks og eksperter fra den offentlige sektor, Cisco og Microsoft Cloud til at bringe systemerne online igen.

De systemer, der blev ramt af ransomware-angrebet i Atlanta mellem den 22. marts og den 2. april, omfattede Atlantas byret, betalingstjenester for forsyningsselskaber og parkeringstjenester, som alle måtte gå tilbage til manuel behandling. Disse omfattede online- og personlige betalingssystemer for basale tjenester, såsom vandregninger.

Vigtige transportfaciliteter, som ikke blev påvirket, omfattede Hartsfield-Jackson Atlanta International Airport, som holdt sit offentlige Wi-Fi-netværk deaktiveret efter råd fra FBI, Secret Service og Department of Homeland Security. I modsætning til ransomware-angrebet på britiske hospitaler, der i høj grad ramte kritiske tjenester som brandvæsen, politi og sundhedsvæsen, blev Atlantas sundhedsvæsen ikke direkte påvirket.

Fem dage efter angrebet lancerede man i Atlanta et informationscenter med opdateringer, der informerede medarbejdere og borgere om, at hvornår de kunne tænde deres computere igen, men at et stort antal tjenester fortsat var utilgængelige. Selvom visse tjenester var umiddelbart tilgængelige for medarbejderne, såsom mail, Oracle og Accela, omfattede de tjenester, der ikke var umiddelbart tilgængelige, Wi-Fi-netværk i lufthavnen (ATL), onlinebetaling af vandregninger (ikke tilgængelig før i maj) og rettens onlinebetalingsmulighed (ikke tilgængelig før i juni). Men nogle tjenester eller data forblev permanent slettet, herunder flere juridiske dokumenter og politiets videofiler.

Efter bruddet udtalte Atlantas borgmester, Keisha Lance Bottoms, og flere ledende medarbejdere, at ingen borgerdata var blevet kompromitteret, og at cybersikkerhed fortsat ville være i højsædet i byens politikker fremover. Byen udnævnte sin nye informationschef, Gary Brantley, i september 2018, sammen med en ny driftsdirektør og direktør for nødberedskab i juni det følgende år.

I december 2018 meddelte det amerikanske justitsministerium, at en føderal anklagejury i Atlanta havde sigtet to iranske statsborgere for det avancerede ransomware-angreb, der inficerede ca. 3.789 computere tilhørende byen Atlanta, herunder servere og arbejdsstationer. Regeringen erkendte, at angrebet "i betydelig grad forstyrrede Atlantas drift, forringede funktionen af visse statslige services og medførte betydelige udgifter i de kommende uger og måneder". Til dato har angrebet påført et tab på millioner af dollars”.