Når fant angrepet i byen Atlanta sted?

22. mars 2018 identifiserte byen Atlanta at operativsystemene og sikkerhetstjenestene hadde blitt offer for et løsepengevirus-angrep. Noen registre fra byen Atlanta gikk også tapt under datainnbruddet, og mange offentlige ansatte måtte lage papirkopier av dokumenter.

Hva skjedde?

Før angrepet, viste det seg at byen Atlanta hadde en svekket IT-infrastruktur, noe som gjør den stadig mer sårbar for et potensielt nettangrep. En revisjonsrapport, datert januar 2018, fant at:

• Byens styringssystem for informasjonssikkerhet (ISMS) innlemmet “manglende eller utdaterte retningslinjer, prosedyrer og veiledningsdokumenter”
• Opptil 1.500-2.000 alvorlige sårbarheter var til stede
• Nærmere 100 offentlige servere brukte utdatert programvare
• Det var en “mangel på formelle prosesser for å identifisere, vurdere og redusere risiko”

Mangel på robuste sikkerhetsprotokoller, sammen med ansattes likegyldighet angående nettsikkerhet, skapte det perfekte miljøet for et nettangrep. 22. mars ble Department of Atlanta Information Management varslet om forstyrrelser på tvers av flere interne- og kundeapplikasjoner, “inkludert noen applikasjoner kunder bruker til å betale regninger eller få tilgang til rettsrelatert informasjon.”

Ved å infisere offentlige Wi-Fi-systemer, inkludert flyplassens Wi-Fi, samt byens kommunale systemer, og nettverk, påvirket løsepengevirus-angrepet borgernes evne til å få tilgang til konfidensielle eller sensitive data, bruke kunderettede applikasjoner, fullføre økonomiske transaksjoner og betale regninger på nett. Opptil en tredjedel av lokale applikasjoner ble også kryptert, noe som gjorde systemer, filer og dokumenter utilgjengelige. For å holde tritt med denne plutselige forstyrrelsen, måtte bedrifter gå tilbake til håndskrevne notater og journaler.

Identifisert som et løsepengevirus-angrep, tilsynelatende SamSam ransomware, ble offentlige ansatte som forsøkte å få tilgang til berørte systemer og nettverk bedt om å betale opptil $ 50 000 i Bitcoin for å få den private nøkkelen som ville fjerne viruset og gi tilgang til applikasjonene.

Hva er SamSam?

SamSam ransomware er en type skadelig programvare som overvåker nettverksaktiviteter for å få ytterligere informasjon om pågående operasjoner og vurdere potensielle sårbarheter. Dette er i motsetning til andre kjente løsepengevirus, som WannaCry og Petya, som angriper umiddelbart ved brudd på de målrettede nettverkene. SamSam opptrer som en dårlige skuespiller og går dypere inn i nettverket for å sikre maksimal skade og enorme løsepenger. Det fjerner også eksisterende sikkerhetskopier som kan brukes til å motvirke angrepet.

Hackere kan manuelt få tilgang til utdaterte nettverksservere og systemdata ved å:

• Bruke RDP-sårbarheter (Remote Network Protocol) til å få tilgang til nettverket
• Infiltrere FTP-servere (File Transfer Protocol)
• Fullfører brute force-angrep mot svekkede passord

Når de har kommet inn i nettverket, kan en hacker få administrativ autorisasjon og privilegier, slik at de kan implementere ekstra skadelig programvare uten å bli oppdaget og deaktivere sikkerhetsverktøy, for eksempel tofaktorautentisering, for å unngå å bli oppdaget.

SamSam ransomware er unik, da den krypterer data, filer og servere, men også alle grunnleggende elementer og applikasjoner som kan hjelpe til med å starte maskinvare på nytt. Dette gjør gjenoppretting av data til en vanskelig langsom prosess. Oppretting av filer og kryptering av dem med unike AES-nøkler (Advanced Encryption Standard) og offentlige RSA-nøkler vil gjøre det umulig å få tilgang til filer og vil garantere at løsepenger må betales for at filene skal dekrypteres.

Når nettkriminelle fullfører operasjonen, blir det fremsatt et løsepengekrav, som ber om betaling gjennom Tor et nettsted med åpen kildekode. Når betalingen er fullført, mottas en kryptografisk nøkkel som gjør at nettverket kan dekrypteres.

Hvordan svarte byen på angrepet?

Det er uklart om Atlantas lokale myndigheter betalte løsepengene, men den totale økonomiske påvirkningen av løsepengevirus-angrepet var uten sidestykke. Etter forespørselen om en betaling på $50 000 i Bitcoin, fjernet hackere siden slik at en betaling kunne utføres, noe som førte til at byen implementerte nødtiltak for å håndtere situasjonen.

Hva var konsekvensene av Atlanta løsepengevirus-angrepet?

Atlanta brukte over 2.6 millioner dollar i nødkontrakter for å stopp effekten av SamSam ransomware-angrepet samt gjenopprette datasystemer og tjenester. Dataangrepet rammet fem av byens 13 lokale myndigheter i fem dager. Denne regningen besto av hendelses- og responstjenester fra Edelman til en kostnad på 50 000 dollar, bemanningskostnader ved Atlanta Information Management (AIM), ekspertise fra det private firmaet Secureworks og eksperter fra offentlig sektor Cisco og Microsoft Cloud for å bringe systemene tilbake på nett.

Systemer som ble berørt i Atlantas løsepengevirus-angrep mellom 22. mars og 2. april inkluderte Atlantas kommunale domstol, betalingstjenester og parkeringstjenester, som alle måtte gå tilbake til manuell behandling. Disse inkluderte nettbaserte og fysiske betalingssystemer for grunnleggende tjenester, for eksempel vannregninger.

Viktige transportfasiliteter som forble upåvirket inkluderte Hartsfield-Jackson Atlanta internasjonale flyplass, som deaktiverte sitt offentlige Wi-Fi-nettverk etter råd fra FBI, Secret Service og Department of Homeland Security. I motsetning til ransomware-angrepet på britiske sykehus som betydelig rammet oppdragskritiske tjenester, som brann, politi og helsetjenester, ble Atlantas helsetjenester ikke direkte berørt.

Fem dager etter angrepet lanserte byen Atlanta en informasjonssenter for oppdateringer, og informerte ansatte og innbyggere om at de kunne slå på datamaskinene sine igjen, men at et stort antall tjenester fremdeles var utilgjengelige. Selv om enkelte tjenester ble operative for ansatte umiddelbart, som e-post, Oracle og Accela, var det andre tjenester som forble utilgjengelige, slik som ATL-flyplassens offentlige Wi-Fi, nettbasert betaling av vannregninger (ikke operativt før i mai) og domstolens nettbaserte betalingsalternativ (ikke operativt før i juni). Enkelte tjenester og data forble imidlertid permanent slettet, inkludert flere juridiske dokumenter og politiets videofiler.

Etter angrepet uttalte ordføreren i Atlanta, Keisha Lance Bottoms, og flere ledere på C-nivå at ingen borgerdata hadde blitt kompromittert, og at nettsikkerhet ville få hovedfokus i de lokale myndighetenes politikk fremover. Byen utnevnte sin nye Chief Information Officer, Gary Brantley, i september 2018, sammen med en ny Chief Operations Officer og direktør for beredskap i juni året etter.

I desember 2018, kunngjorde det amerikanske justisdepartementet at en føderal storjury i Atlanta siktet to iranske statsborgere for det sofistikerte løsepengevirus-angrepet som infiserte rundt 3.789 datamaskiner tilhørende byen Atlanta, inkludert servere og arbeidsstasjoner. Lokale myndigheter erkjente at angrepet hadde “påvirket Atlantas systemer i stor grad, svekket visse myndighets-funksjoner og forårsaket betydelige utgifter i de kommende ukene og månedene. Til dags dato har angrepet påført millioner av dollar i tap.»