Kiedy miał miejsce atak w Atlancie?
22 marca 2018 roku władze Atlanty odkryły, że ich systemy operacyjne i usługi bezpieczeństwa padły ofiarą ataku ransomware. Niektóre rejestry miasta zostały utracone wskutek naruszenia zabezpieczeń danych, a wielu urzędników musiało ręcznie utworzyć ich kopie.
Co się stało?
Przed atakiem stwierdzono, że infrastruktura informatyczna Atlanty jest przestarzała, co zwiększało ryzyko cyberataku. Raport z audytu ze stycznia 2018 wykazał, że:
- miejski system zarządzania bezpieczeństwem informacji (ISMS) zawierał „brakujące lub przestarzałe zasady, procedury i dokumenty z wytycznymi”;
- znaleziono 1500-2000 poważnych luk w zabezpieczeniach;
- ponad 100 serwerów rządowych korzystało z przestarzałego oprogramowania;
- wystąpił „brak formalnych procesów rozpoznawania, oceny i ograniczania ryzyka”.
Brak skutecznych protokołów bezpieczeństwa i brak czujności pracowników stworzyły idealne warunki dla cyberataku. 22 marca biuro Department of Atlanta Information Management otrzymało powiadomienia o zakłóceniach w kilku aplikacjach wewnętrznych i dla klientów, co obejmowało aplikacje używane do opłacania rachunków lub uzyskiwania dostępu do informacji sądowych.
Atak ransomware zainfekował publiczne systemy Wi-Fi, w tym Wi-Fi na lotniskach oraz miejskie systemy i sieci. Przeszkodził mieszkańcom w dostępie do poufnych danych, używaniu aplikacji dla klientów, przeprowadzaniu transakcji finansowych i płaceniu rachunków. Oprócz tego zaszyfrowana została nawet jedna trzecia aplikacji lokalnych, co zablokowało dostęp do systemów, plików i dokumentów. Firmy musiały pisać notatki i rejestry ręcznie, aby poradzić sobie z tymi nagłymi zakłóceniami.
Atak zidentyfikowano jako ransomware, a konkretnie program SamSam. Pracownicy próbujący uzyskać dostęp do zaatakowanych systemów i sieci widzieli żądanie zapłaty nawet 50 tys. dolarów w walucie Bitcoin za klucz mający usunąć wirusa i przywrócić dostęp do aplikacji.
Czym jest SamSam?
Ransomware SamSam to złośliwe oprogramowanie monitorujące aktywność sieci, aby uzyskać informacje o prowadzonych działaniach i ocenić potencjalne luki w zabezpieczeniach. Tym różni się od innych słynnych rodzajów, takich jak WannaCry i Petya, które atakują natychmiast po włamaniu się do sieci. SamSam pozwala hakerowi dogłębnie zbadać sieć, aby wyrządzić jak największe szkody i zażądać jak najwyższego okupu. Usuwa również utworzone kopie zapasowe, których można by użyć do naprawy skutków ataku.
Hakerzy mogą ręcznie uzyskać dostęp do nieaktualnych serwerów sieciowych i danych systemowych poprzez:
Gdy hakerzy dostaną się do sieci, mogą uzyskać uprawnienia administratora, co pozwala im wprowadzić do systemu więcej złośliwego oprogramowania, unikając wykrycia przez zabezpieczenia. Następnie mogą wyłączyć takie narzędzia jak uwierzytelnianie dwuskładnikowe, aby zatrzeć ślady.
Ransomware SamSam jest wyjątkowe, bo szyfruje nie tylko dane, pliki i serwery, ale także wszystkie podstawowe elementy i aplikacje, które mogłyby pomóc w przywróceniu działania sprzętu. Odzyskiwanie danych trwa przez to bardzo długo. Tworzenie plików i szyfrowanie ich za pomocą kluczy Advanced Encryption Standard (AES) i RSA uniemożliwia dostęp do plików i pozostawia zapłacenie okupu jako jedyną możliwą opcję ich odszyfrowania.
Gdy cyberprzestępca ukończy ten proces, wysyła żądanie okupu w witrynie typu open source Tor. Po zapłaceniu okupu udostępniany jest kryptograficzny klucz pozwalający na odszyfrowanie sieci.
Jak zareagowało miasto?
Nie jest jasne, czy władze Atlanty zapłaciły okup. Finansowe skutki ataku ransomware były jednak bezprecedensowe. Po wysłaniu żądania zapłaty 50 tys. dolarów w walucie Bitcoin hakerzy usunęli stronę umożliwiającą zapłatę okupu. Miasto musiało wprowadzić środki awaryjne, aby zaradzić skutkom ataku.
Jakie były konsekwencje ataku ransomware w Atlancie?
Miasto Atlanta wydało ponad 2,6 miliona dolarów na prace awaryjne mające przeciwdziałać skutkom ataku ransomware SamSam oraz przywrócić systemy komputerowe i usługi. Cyberatak wpłynął na działanie 5 z 13 departamentów władz lokalnych przez pięć dni. Rachunek obejmował usługi firmy Edelman w zakresie reagowania na incydenty na kwotę 50 tys. dolarów, koszty personelu Atlanta Information Management (AIM), pomoc prywatnej firmy Secureworks oraz ekspertów Cisco i Microsoft Cloud z sektora publicznego, aby przywrócić działanie systemów.
Atak ransomware w Atlancie między 22 marca a 2 kwietnia wpłynął na działanie sądu miejskiego, systemu płatności za media i usług parkingowych. We wszystkich tych przypadkach trzeba było wrócić do ręcznego przetwarzania danych. Obejmowało to systemy płatności online i osobistych za podstawowe usługi, np. rachunki za wodę.
Istotne placówki infrastruktury transportowej, które uniknęły skutków ataku, to np. lotnisko Hartsfield-Jackson Atlanta International Airport. Wyłączyło ono publiczną sieć Wi-Fi za radą FBI, służb specjalnych i Departamentu Bezpieczeństwa Wewnętrznego. W przeciwieństwie do ataku ransomware na brytyjskie szpitale, który poważnie zaszkodził straży pożarnej, policji, służbie zdrowia i innym instytucjom o krytycznym znaczeniu, ten atak nie wpłynął na placówki ochrony zdrowia w Atlancie.
Pięć dni po ataku miasto Atlanta uruchomiło centrum informacji przekazujące wiadomości na bieżąco. Pracownicy i mieszkańcy dowiedzieli się tam, że udało się ponownie włączyć komputery, ale wiele usług wciąż było niedostępnych. Chociaż niektóre usługi, takie jak poczta e‑mail, Oracle i Accela, natychmiast stały się dostępne dla pracowników, niedostępne pozostały publiczne sieci Wi-Fi na lotnisku ATL, opłaty online za wodę (ta usługa wróciła dopiero w maju) oraz opcja płacenia przez Internet w sądzie (udostępniono ją ponownie dopiero w czerwcu). Doszło jednak do trwałego usunięcia niektórych usług i danych, w tym wielu dokumentów prawnych i policyjnych plików wideo.
Burmistrz Atlanty, Keisha Lance Bottoms, i kilku wysokich rangą urzędników oświadczyło po ataku, że nie doszło do naruszenia zabezpieczeń danych obywateli, a cyberbezpieczeństwo będzie w przyszłości na czele listy priorytetów rządu. We wrześniu 2018 miasto powołało nowego dyrektora ds. informatycznych, Gary'ego Brantleya. W czerwcu następnego roku powołano nowego dyrektora ds. operacyjnych i dyrektora ds. gotowości awaryjnej.
W grudniu 2018 amerykański Departament Sprawiedliwości ogłosił, że federalna wielka ława przysięgłych w Atlancie oskarżyła dwóch obywateli Iranu o przeprowadzenie wyrafinowanego ataku ransomware, który zainfekował około 3789 komputerów należących do miasta Atlanta, w tym serwery i stacje robocze. Rząd przyznał, że atak „znacząco zakłócił działalność administracji miasta Atlanta oraz niektóre funkcje rządowe i przyczynił się do znacznego wzrostu wydatków w następnych tygodniach i miesiącach. Do tej pory atak spowodował straty liczone w milionach dolarów”.
Czego można się nauczyć na przykładzie ataków ransomware, jakie miały miejsce w Atlancie?
Atak ransomware w Atlancie nie był odosobnionym przypadkiem. Ataki ransomware stale ewoluują i stają się coraz bardziej zaawansowane oraz wyrafinowane. Dlatego stosowanie skutecznych procesów cyberbezpieczeństwa ma kluczowe znaczenie dla spółek publicznych i prywatnych.
Hakerzy mogą wykorzystać luki wynikające z nieskutecznego lub przestarzałego oprogramowania oraz praktyk informatycznych, aby dostać się do sieci firmowych, zablokować dostęp do danych i usług oraz zażądać okupu. Inny przykład ataku, który zyskał powszechny rozgłos, to incydent związany z ransomware w Baltimore w 2019 roku. Cyberprzestępcy zainfekowali wówczas rządowe systemy i serwery oprogramowaniem ransomware, wykorzystując nieskuteczne i przestarzałe protokoły cyberbezpieczeństwa.
Choć niektóre firmy decydują się zapłacić okup, nie ma żadnej gwarancji, że hakerzy faktycznie udostępnią narzędzia do odszyfrowywania ransomware pozwalające odzyskać dostęp do zaszyfrowanych systemów i usług. Ponieważ ransomware wciąż stanowi zagrożenie dla firm, zapobieganie atakom i ochrona sieci za pomocą odpowiedniego planu awaryjnego oraz inwestycji w skuteczne zabezpieczenia mają kluczowe znaczenie.
© 2024 Gen Digital Inc.