Wanneer vond de aanval op Atlanta plaats?

Op 22 maart 2018 stelde Atlanta vast dat haar besturingssystemen en beveiligingsdiensten het slachtoffer waren geworden van een ransomwareaanval. Sommige dossiers van de stad gingen ook verloren tijdens het gegevenslek en veel overheidsmedewerkers moesten papieren kopieën van documenten maken.

Wat was er gebeurd?

Vóór de aanval bleek dat de IT-infrastructuur van de stad was verzwakt, waardoor deze steeds kwetsbaarder werd voor een mogelijke cyberaanval. In een auditrapport van januari 2018 werd het volgende geconstateerd:

• Het Information Security Management System (ISMS) van de stad bevatte ontbrekend of verouderd beleid, procedures en begeleidingsdocumenten
• Aanwezigheid van 1500 tot 2000 ernstige kwetsbaarheden
• De software op bijna 100 overheidsservers was verouderd
• Een gebrek aan formele processen om risico's te identificeren, te beoordelen en te beperken

Een gebrek aan robuuste beveiligingsprotocollen en onachtzaamheid van werknemers met betrekking tot cyberbeveiliging creëerden de perfecte omgeving voor een cyberaanval. Op 22 maart werd het Department of Atlanta Information Management op de hoogte gebracht van storingen in verschillende interne en klanttoepassingen, waaronder enkele toepassingen die klanten gebruiken om rekeningen te betalen of toegang te krijgen tot gerechtelijke informatie.

De ransomwareaanval infecteerde openbare wifisystemen, waaronder wifi op luchthavens, en de gemeentelijke systemen en netwerken van de stad. De aanval leidde ertoe dat inwoners nauwelijks in staat waren toegang te krijgen tot vertrouwelijke of gevoelige gegevens, klantgerichte toepassingen te gebruiken, financiële transacties uit te voeren en online rekeningen te betalen. Ongeveer een derde van lokale toepassingen werd bovendien versleuteld, waardoor systeembestanden en documenten ontoegankelijk werden. Om deze plotselinge verstoring het hoofd te bieden, moesten bedrijven terugvallen op handgeschreven notities en verslagen.

De aanval werd geïdentificeerd als een aanval met SamSam-ransomware. Overheidsmedewerkers die toegang probeerden te krijgen tot de getroffen systemen en netwerken, werden gevraagd om tot $ 50.000 in Bitcoin te betalen voor de privésleutel die het virus zou verwijderen en weer toegang zou geven tot toepassingen.

Wat is SamSam?

SamSam-ransomware is een type malware dat netwerkactiviteiten in de gaten houdt om meer informatie te verzamelen over lopende activiteiten en potentiële kwetsbaarheden te beoordelen. Hierin wijkt het af van andere bekende ransomware, zoals WannaCry en Petya, die onmiddellijk aanvallen zodra ze in de beoogde netwerken zijn binnengedrongen. Met SamSam kan de crimineel diep in het netwerk duiken om maximale schade en flinke losgeldbetalingen te garanderen. Het verwijdert ook alle bestaande back-ups die zouden kunnen worden gebruikt om de aanval tegen te gaan.

Hackers kunnen handmatig toegang krijgen tot verouderde netwerkservers en systeemgegevens door:

• Kwetsbaarheden in het Remote Network Protocol (RDP) te gebruiken om toegang te krijgen tot het netwerk
• FTP-servers (File Transfer Protocol) te infiltreren
• Aanvallen met brute kracht uit te voeren tegen verzwakte wachtwoorden

Zodra hackers toegang hebben verkregen tot het netwerk, kunnen ze zich administratieve machtigingen en rechten toe-eigenen. Hierdoor kunnen ze extra malware implementeren zonder ontdekt te worden en beveiligingstools, zoals tweeledige verificatie, uitschakelen om detectie te omzeilen.

SamSam-ransomware is uniek, omdat het niet alleen gegevens, bestanden en servers versleutelt, maar ook alle basiselementen en toepassingen die zouden kunnen helpen om hardware opnieuw op te starten. Dit maakt het herstellen van gegevens een moeizaam en tergend langzaam proces. Door bestanden aan te maken en te versleutelen met unieke AES-sleutels (Advanced Encryption Standard) en openbare RSA-sleutels, wordt de toegang tot bestanden onmogelijk gemaakt. Dit garandeert een losgeldbetaling om de bestanden te ontsleutelen.

Zodra de cybercrimineel zijn operatie heeft voltooid, wordt er losgeld gevraagd via een open source Tor-website. Na betaling wordt een cryptografische sleutel verstrekt waarmee het netwerk kan worden ontsleuteld.

Hoe reageerde de stad?

Het is onduidelijk of de overheid van Atlanta het losgeld heeft betaald, maar de financiële gevolgen van de ransomwareaanval waren buitengewoon schadelijk. Na het verzoek om $ 50.000 in Bitcoin verwijderden hackers de pagina zodat een betaling kon worden gedaan. De stad moest vervolgens noodmaatregelen treffen om de gevolgen op te vangen.

Wat waren de gevolgen van de ransomwareaanval op Atlanta?

Atlanta heeft meer dan 2,6 miljoen dollar uitgegeven aan noodcontracten om de gevolgen van de SamSam-ransomwareaanval tegen te gaan en haar computersystemen en diensten te herstellen. De cyberaanval hield 5 van de 13 lokale overheidsafdelingen van de stad gedurende vijf dagen in zijn greep. De rekening omvatte $ 50.000 aan incident- en responsdiensten van Edelman, personeelskosten bij Atlanta Information Management (AIM), expertise van het particuliere bedrijf Secureworks en overheidsexperts Cisco en Microsoft Cloud om de systemen weer online te krijgen.

Systemen die tussen 22 maart en 2 april werden getroffen waren onder andere de gemeentelijke rechtbank van Atlanta en betalingsdiensten voor nutsvoorzieningen en parkeren. Al deze systemen moest terugvallen op handmatige verwerking. Dit trof zelfs online en persoonlijke betalingssystemen voor basisdiensten, zoals waterrekeningen.

Belangrijke transportfaciliteiten waarop de aanval geen effect had, waren onder andere Hartsfield-Jackson Atlanta International Airport, dat zijn openbare wifi uitgeschakeld hield op aanraden van de FBI, de Secret Service en het Department of Homeland Security. In tegenstelling tot de ransomwareaanval op Britse ziekenhuizen die bedrijfskritische diensten zoals de brandweer, politie en gezondheidszorg zwaar trof, werden de gezondheidsdiensten in Atlanta niet direct getroffen.

Vijf dagen na de aanval introduceerde Atlanta een informatiehub voor updates om medewerkers en inwoners te laten weten dat ze hun computers weer aan konden zetten, maar dat een groot aantal diensten nog niet beschikbaar was. Hoewel bepaalde diensten onmiddellijk operationeel waren voor werknemers, zoals e‑mail, Oracle en Accela, gold dit niet voor andere diensten, zoals openbare wifi op ATL, online betalingen van waterrekeningen (pas operationeel in mei) en de online betalingsoptie van de rechtbank (pas operationeel in juni). Sommige diensten of gegevens waren echter permanent gewist, waaronder verschillende juridische documenten en videobestanden van de politie.

Burgemeester Keisha Lance Bottoms van Atlanta en verschillende leidinggevenden op C-niveau verklaarden na de inbreuk dat de gegevens van burgers niet waren gecompromitteerd en dat cyberbeveiliging een speerpunt zou blijven in het overheidsbeleid. De stad stelde in september 2018 niet alleen een nieuwe Chief Information Officer aan, Gary Brantley, maar ook een nieuwe Chief Operations Officer en Director of Emergency Preparedness in juni van het jaar daarop.

In december 2018 kondigde het Amerikaanse ministerie van Justitie aan dat een federale Grand Jury in Atlanta twee Iraanse staatsburgers had beschuldigd van de geraffineerde ransomwareaanval waarmee ongeveer 3789 computers van de stad Atlanta werden geïnfecteerd, inclusief servers en werkstations. De regering erkende dat de aanval de activiteiten van de stad Atlanta aanzienlijk had verstoord, bepaalde overheidsfuncties had geschaad en in de komende weken en maanden tot aanzienlijke kosten zou leiden. Tot nu toe heeft de aanval tot een verlies van miljoenen dollars geleid.