¿Cuándo se produjo el ataque a la ciudad de Atlanta?

El 22 de marzo de 2018, Atlanta detectó que sus sistemas operativos y servicios de seguridad habían sido víctimas de un ataque de ransomware. Algunos registros de la ciudad también se perdieron durante la filtración de datos y muchos trabajadores de la administración tuvieron que crear copias impresas de documentos.

¿Qué sucedió?

Antes del ataque, se descubrió que Atlanta tenía una infraestructura de TI debilitada, lo que la hacía cada vez más vulnerable a un posible ciberataque. Un informe de auditoría de enero de 2018 constató lo siguiente:

• El sistema de gestión de la seguridad de la información de la ciudad incorporaba políticas, procedimientos y documentos de orientación inexistentes o anticuados
• Había de 1500 a 2000 vulnerabilidades graves
• Alrededor de 100 servidores de los organismos públicos utilizaban software obsoleto
• Faltaban procesos formales para identificar, evaluar y mitigar los riesgos

La falta de protocolos de seguridad sólidos, junto al exceso de confianza de los empleados hacia la ciberseguridad, crearon las condiciones ideales para un ciberataque. El 22 de marzo, el Departamento de Administración de la Información de Atlanta recibió la notificación de interrupciones en varias aplicaciones internas y de clientes, incluidas aplicaciones que los clientes utilizaban para pagar facturas o acceder a información relacionada con los tribunales.

Al infectar los sistemas Wi-Fi públicos, entre ellos las redes Wi-Fi del aeropuerto, los sistemas y redes municipales de la ciudad, el ataque de ransomware afectó a la capacidad de los ciudadanos de acceder a datos confidenciales, utilizar aplicaciones orientadas al cliente, realizar transacciones financieras y pagar facturas en línea. También se cifró hasta un tercio de las aplicaciones locales, con lo que los sistemas, archivos y documentos quedaron inaccesibles. Para contrarrestar esta repentina interrupción de servicios y del acceso a datos, las empresas tuvieron que volver a escribir a mano notas y registros.

Identificado como un ataque de ransomware, en concreto el ransomware SamSam, se exigía a los trabajadores de la Administración que intentaban acceder a los sistemas y redes afectados que pagasen hasta 50 000 dólares en bitcoines para obtener la clave privada que eliminaría el virus y les permitiría acceder a las aplicaciones.

¿Qué es SamSam?

Es un tipo de malware que supervisa las actividades de la red para obtener más información sobre las operaciones en curso y evaluar posibles vulnerabilidades. Actúa de forma distinta de otros tipos de ransomware famosos, como WannaCry y Petya, que atacan inmediatamente después de vulnerar las redes que tienen en el punto de mira. SamSam permite que el delincuente se infiltre en la red para asegurarse de causar el máximo daño y obtener el pago de enormes rescates. También elimina cualquier copia de seguridad que pudiera utilizarse para contrarrestar el ataque.

Los hackers pueden acceder manualmente a servidores de red obsoletos y a datos del sistema:

• Mediante vulnerabilidades del Protocolo de escritorio remoto (RDP) para acceder a la red
• Infiltrándose en los servidores FTP
• Completando ataques de fuerza bruta contra contraseñas debilitadas

Una vez que se ha accedido a la red, un hacker puede obtener autorización y privilegios administrativos, lo que le permite implementar malware adicional sin que se le detecte y desactivar herramientas de seguridad, como la autenticación en dos pasos, para eludir la detección.

El ransomware SamSam es único en su género, ya que cifra datos, archivos y servidores, pero también todos los elementos fundacionales y aplicaciones que podrían ayudar a reiniciar cualquier hardware. De este modo, la recuperación de datos resulta un proceso sumamente lento. La creación de archivos y su cifrado con claves únicas Advanced Encryption Standard (AES) y claves públicas RSA imposibilitarán el acceso a los archivos y asegurarán el pago de un rescate para poder descifrar los archivos.

Cuando el ciberdelincuente completa su operación, se efectúa una petición de rescate y se solicita el pago a través de un sitio web Tor de código abierto. Una vez pagado, se proporciona una clave que permite descifrar la red.

¿Cómo respondió la ciudad?

No está claro si la Administración de Atlanta pagó el rescate; no obstante, el impacto financiero total del ataque de ransomware fue insólito. Tras la solicitud de un pago de 50 000 dólares en bitcoines, los hackers eliminaron la página que permitía efectuar el pago, lo que llevó a la ciudad a aplicar medidas de emergencia para gestionar las repercusiones.

¿Cuáles fueron las consecuencias del ataque del ransomware en Atlanta?

La ciudad gastó más de 2,6 millones de dólares en contratos de emergencia para contrarrestar el efecto del ataque del ransomware SamSam y restaurar sus sistemas y servicios informáticos. El ciberataque afectó durante cinco días a cinco de los 13 departamentos de la administración local. Se emitió una factura en concepto de servicios de incidentes y respuesta de Edelman de 50 000 dólares, gastos del personal del Departamento de Administración de la Información de Atlanta, conocimientos de la empresa privada Secureworks y de los expertos del sector público Cisco y Microsoft Cloud para volver a poner en marcha los sistemas.

Entre los sistemas que se vieron afectados entre el 22 de marzo y el 2 de abril, cabe citar el Tribunal Municipal de Atlanta, los servicios de pago de servicios públicos y los servicios de aparcamiento. Todos ellos tuvieron que volver a utilizar el procesamiento manual. Por ejemplo, se vieron afectados los sistemas de pago en línea y en persona de servicios básicos, como las facturas del agua.

El Aeropuerto Internacional Hartsfield-Jackson de Atlanta fue una de las instalaciones de transportes que resultaron indemnes, ya que mantuvo desactivada su Wi-Fi pública por indicación del FBI, el Servicio Secreto y el Departamento de Seguridad Nacional. A diferencia del ataque de ransomware a los hospitales del Reino Unido, que repercutió gravemente en servicios esenciales como los bomberos, la policía y la sanidad, los servicios sanitarios de Atlanta no se vieron afectados directamente.

Cinco días después del ataque, en Atlanta se puso en marcha un centro de información, desde el cual se informaba los trabajadores y residentes de que podían volver a encender sus equipos, pero que un gran número de servicios seguía sin estar disponible. Aunque algunos servicios estuvieron operativos otra vez de inmediato para los trabajadores, como el correo electrónico, Oracle y Accela, entre los no disponibles cabe citar la conexión Wi-Fi pública del aeropuerto, el pago en línea de la factura del agua (no operativo hasta mayo) y la opción de pago en línea del tribunal (no operativa hasta junio). Sin embargo, algunos servicios o datos se eliminaron de forma irreversible, por ejemplo varios documentos legales y archivos de vídeo policiales.

Tras la filtración, Keisha Lance Bottoms, alcaldesa de Atlanta, y varios cargos de alto nivel declararon que no se había puesto en peligro ningún dato de los ciudadanos y que la ciberseguridad seguiría siendo una prioridad en las políticas gubernamentales. En septiembre de 2018, se designo a Gary Brantley director de Tecnologías de la Información. Y en junio del año siguiente, se designó a un nuevo director de Operaciones y de Preparación en caso de Emergencias.

En diciembre de 2018, el Departamento de Justicia de Estados Unidos anunció que un gran jurado federal de Atlanta acusó a dos ciudadanos iraníes del sofisticado ataque de ransomware que infectó 3789 equipos, incluidos servidores y estaciones de trabajo, de la ciudad de Atlanta. El Gobierno reconoció que el ataque había alterado considerablemente las operaciones de la ciudad de Atlanta, había perjudicado ciertas funciones gubernamentales y le había ocasionado gastos sustanciales durante las semanas y los meses siguientes. Hasta la fecha, el ataque ha causado pérdidas millonarias.