Atak ransomware w Baltimore
Atak ransomware, jaki wystąpił w Baltimore w maju 2019 roku, miał bardzo poważne konsekwencje dla firm, agencji rządowych oraz administracji państwowej. Osobom, które za nim stały, udało się wywrócić życie miasta do góry nogami. Koszt działań mających na celu eliminację szkód ocenia się na 18 milionów USD. Zbadamy, w jaki sposób przeprowadzono atak ransomware w Baltimore, przyjrzymy się jego konsekwencjom oraz temu, jaką lekcję mogą wyciągnąć firmy z tego rodzaju incydentów, by lepiej chronić się przed ransomware.
Chroń swoją firmę przed ransomware, korzystając z rozwiązania Avast Business Server Antivirus
Kiedy miał miejsce atak w Baltimore?
Atak ransomware, którego celem padło miasto Baltimore, miał miejsce 7 maja 2019 roku, w okresie, który i tak nie należał do najspokojniejszych w historii miasta. Dawna burmistrz Baltimore, Catherine Pugh, zrezygnowała z pełnionej przez siebie funkcji raptem 2 maja — wcześniej wybuchł skandal dotyczący jej osoby, postawiono jej zarzuty i ostatecznie skazano na karę pozbawienia wolności. Jej następca, Bernard C. Young, przejął stanowisko 9 maja. Hakerzy zaatakowali cyfrową infrastrukturę miasta w momencie, gdy kwestie dotyczące cyberbezpieczeństwa odsunięto na dalszy plan. Atak trwał ponad dwa tygodnie.
W 2019 roku miasto padło ofiarą naruszenia danych drugi raz. W marcu 2018 roku atak ransomware sparaliżował systemy służb ratunkowych na ponad 12 godzin. 25 listopada 2020 roku miał miejsce trzeci atak ransomware, którego ofiarą padły szkoły publiczne hrabstwa Baltimore. Atak objął swoim zasięgiem 170 szkół, liczne systemy edukacyjne oraz nawet 115 000 uczniów.
Jak doszło do ataku ransomware w Baltimore?
7 maja 2019 roku Departament Robót Publicznych Baltimore (Baltimore Department of Public Works) opublikował tweeta, w którym informował, że jego usługi e-mail są niedostępne. Do kłopotów z pocztą e-mail doszły także problemy z liniami telefonicznymi. Po tym zdarzeniu w mieście wystąpił efekt domina — niedostępnych stało się nawet 10 000 systemów rządowych, w tym systemy Departamentu Transportu.
Tym, co wzbudziło podejrzenia, była próba cyberataku na linie telefoniczne służb ratunkowych, przypominająca pomyślnie przeprowadzony atak, jakiemu miasto musiało stawić czoła w 2018 roku. Urzędnicy miejscy, którzy współpracowali z FBI, zdołali wtedy odkryć, że atak ransomware, którego ofiarą padło miasto, nosi miano „RobbinHood”.
Złośliwi hakerzy wykorzystali oprogramowanie RobbinHood w celu całkowitego uniemożliwienia urzędnikom rządowym dostępu do wszystkich systemów operacyjnych; ponadto zablokowali dostęp do wszystkich danych, żądając za niego okupu, i uniemożliwili korzystanie ze wszystkich systemów i aplikacji. Dwa dni po pierwszym ataku hakerzy opublikowali żądanie okupu skierowane do nowego burmistrza, zgodnie z treścią którego chcieli otrzymać po trzy bitcoiny za każdy zablokowany system lub łącznie 13 bitcoinów (o wartości sięgającej blisko 76 000 USD) za przywrócenie dostępu do wszystkich systemów. Żądanie zawierało informację o tym, że jeśli nie zostanie wniesiona żadna opłata, od 11 maja kwota okupu będzie z każdym kolejnym dniem rosła o 10 000 USD i że wszystkie dane, których zabezpieczenia zostały złamane, zostaną trwale usunięte.
Co to jest RobbinHood?
RobbinHood to zaawansowane oprogramowanie ransomware, które naśladuje bardziej złożone metody używane w bardziej wyrafinowanych programach typu ransomware, takich jak Ryuk, Locky i Petya, uzyskując dostęp do struktur za pośrednictwem zhakowanych protokołów RDP (ang. Remote Desktop Protocols). W ten sposób hakerzy mogą przerwać połączenie między powiązanym sprzętem i siecią, wyeliminować Twoje środki ochrony cyberbezpieczeństwa (oraz wszelkie oprogramowanie do przywracania danych) i ograniczyć dostęp do wszystkich plików i folderów przy użyciu szyfrowania. Takie działanie może udaremnić wszelkie potencjalne próby przywrócenia poufnych danych — jedynym sposobem na rozwiązanie problemy staje się opłacenie okupu w zamian za klucz deszyfrujący.
Jak zareagowało miasto?
Gdy burmistrz Young otrzymał zgłoszenie dotyczące ataku na miasto, wydał oficjalne oświadczenie,w którym informował, że znaczna liczba realizowanych przez miasto usług została tymczasowo zastąpiona procesami ręcznymi i że wiele usług rządowych — w tym miejski system płatności z użyciem kart, który umożliwiał obywatelom opłacanie podatków od nieruchomości oraz opłat parkingowych — jest niedostępnych. Stwierdził jednak także, że miasto współpracuje z FBI i ekspertami ds. technologii, takimi jak Microsoft, by przywrócić sprawność wszystkich systemów. Przyznał, że zanim uda się naprawić sytuację, mogą minąć tygodnie lub nawet miesiące, jako że kilka systemów będzie trzeba stworzyć od podstaw.
Miejscy urzędnicy nie mogli uzyskać dostępu do swoich systemów poczty e-mail przez dwa tygodnie. W związku z tym utworzyli konta Gmail, by zrównoważyć efekty ataku i umożliwić obywatelom opłacanie niezbędnych usług komunalnych, w tym np. rachunków za wodę. Niestety utworzenie znacznej liczby kont zaalarmowało systemy Google stworzone do walki ze spamem, czego konsekwencją było zablokowanie także i tych kont — po przesłaniu do Google stosownego powiadomienia konta zostały jednak odblokowane.
O przeprowadzenie ataku ransomware powszechnie podejrzewano Krajową Agencję Bezpieczeństwa (NSA, ang. National Security Agency), jako że panowało przekonanie, że hakerzy wykorzystali do spenetrowania systemów Windows narzędzie EternalBlue (utworzone wcześniej przez NSA). Narzędzie zostało skradzione. Grupa określająca się mianem Shadow Brokers odpowiadała za jego wyciek w kwietniu 2017 roku. Narzędzie zyskało popularność w kręgach odpowiedzialnych za tworzenie i rozwijanie oprogramowania ransomware, dlatego też było uważane za punkt dostępu w kontekście ataku.
Starszy doradca ds. strategii dotyczącej cyberbezpieczeństwa z NSA, Rob Joyce, wystosował odpowiedź, w której stwierdzał, że koncentracja na EternalBlue była „krótkowzroczna” — Microsoft wysłał poprawki, które pozwoliły stawić czoła EternalBlue, a Baltimore miało ponad dwa lata na poradzenie sobie z tym problemem oraz z innymi słabymi punktami infrastruktury IT. Dalsza analiza ataku pozwoliła Joe Stewartowi, analitykowi ds. złośliwego oprogramowania, stwierdzić, że w istocie w kodzie ransomware nie da się wskazać ani śladu exploitu z użyciem EternalBlue — to narzędzie mogło co najwyżej wspomóc rozprzestrzenianie się złośliwego oprogramowania.
Czy hrabstwo Baltimore zapłaciło okup?
Hrabstwo Baltimore nie zapłaciło okupu, pomimo wzmagających się nacisków — hakerzy ujawniali dane wrażliwe dotyczące pracowników instytucji miejskich oraz grozili ujawnieniem dalszych informacji. Większość miejskich systemów operacyjnych działała do połowy czerwca, natomiast kilka systemów, takich jak te, których działanie jest związane z elektronicznymi pozwoleniami, nieruchomościami i kontami pracowników, zostało w pełni uruchomionych pod koniec tego miesiąca.
Burmistrz Young opublikował na Twitterze oświadczenie wideo w odpowiedzi na publiczną krytykę i żądania zapłacenia okupu. Stwierdził:
„Po pierwsze, zarówno Secret Service, jak i FBI doradzały nam, by nie płacić okupu. Po drugie, my tak nie działamy. Nie będziemy nagradzać kryminalistów za ich występki. Gdybyśmy zapłacili, nie dałoby nam to żadnej gwarancji, że przestępcy będą mogli odblokować nasze systemy ani że to zrobią”.
„Nie jesteśmy w stanie prześledzić płatności ani nawet potwierdzić, komu płacimy. Ze względu na to, w jaki sposób zażądano płatności, nie jesteśmy w stanie stwierdzić, czy przestępcy nie pozostawią w naszych systemach żadnego innego złośliwego oprogramowania, by móc znów zażądać od nas okupu w przyszłości. W końcu i tak musieliśmy podjąć wszystkie te kroki, by zapewnić nam wszystkim bezpieczne środowisko. Jestem przekonany że postąpiliśmy w najlepszy możliwy sposób”.
Zastępczyni burmistrza, szef sztabu operacyjnego, Sheryl Goldstein, wydała dodatkowy komentarz:
„Śledczy federalni poradzili nam, abyśmy nie płacili okupu. Dane pokazują, że w przypadku zapłacenia okupu szanse na odzyskanie danych wynoszą poniżej połowy i nawet jeśli zapłaci się przestępcom, to i tak trzeba sprawdzić system i upewnić się, że nie pozostały w nim żadne ślady bytności przestępców. Nie można po prostu przywrócić systemu i mieć nadzieję, że przestępcy sobie poszli. I tak musielibyśmy ponieść większość tych kosztów.”
Jakie były konsekwencje ataku ransomware w Baltimore?
Atak z użyciem oprogramowania ransomware, jaki przepuszczono na miasto Baltimore w 2019 roku, trwał około miesiąca. Eliminacja zakłóceń w działaniu dotkniętych nim usług mogła kosztować nawet 18,2 mln USD — kwota ta obejmuje usunięcie skutków ataku, zakup nowego sprzętu oraz utracony lub odroczony przychód. 35% z ponad 10 000 pracowników instytucji miejskich odzyskało we wspomnianym czasie dostęp do swoich kont; w kolejnych miesiącach wskaźnik ten wzrósł do 95%.
Podobnie, jak miało to miejsce w przypadku ataku ransomware, jaki miał miejsce w Atlancie w 2018 roku, atak w Baltimore dotknął departamenty rządu, instytucje użyteczności publicznej oraz usługi związane z parkingami, co wymusiło ręczne przetwarzanie mających z nimi związek działań.
W przeciwieństwie do ataku ransomware na NHS w Wielkiej Brytanii, który miał znaczny wpływ na usługi o znaczeniu krytycznym, w Baltimore departamenty, które miały związek z usługami ratunkowymi, nie zostały bezpośrednio dotknięte atakiem RobbinHood i działały w sposób nieprzerwany. Skutki ataku na Baltimore nie ominęły jednak tamtejszego rynku ruchomości — pracownicy nie mogli realizować transakcji sprzedaży nieruchomości aż do końca czerwca
Drugi atak ransomware na Baltimore miał miejsce przed upływem około 15 miesięcy. Miasto znalazło się wtedy co prawda pod ostrzałem, wcześniej jednak, po pierwszym ataku, wprowadziło środki zaradcze, by mieć pewność, że kolejny atak nie będzie mieć miejsca. Przykładami podjętych działań było utworzenie nowego komitetu ds. cyberbezpieczeństwa, któremu przewodził prezes rady, Brandon Scott. Komitet pracował nad dokonaniem szczegółowego przeglądu systemów miasta pod kątem luk w zabezpieczeniach oraz podjęciem odpowiednich działań w odpowiedzi na atak w celu wprowadzenia nowych zasad, praktyk i technologii, które pozwoliłyby rozwinąć odporną infrastrukturę IT.
Atak na szkoły publiczne w hrabstwie Baltimore w 2020 roku
Szkoły publiczne hrabstwa Baltimore padły ofiarą trzeciego ataku ransomware przypuszczonego na miasto 24 listopada 2020 roku, na 2 dni przed Świętem Dziękczynienia. Mimo że miasto padło wcześniej ofiarą dwóch zaawansowanych ataków z użyciem oprogramowania ransomware, wprowadzone środki, mające na celu ochronę ogromnych ilości wrażliwych danych, okazały się słabe Wszystkie poufne dane i powiązane systemy szkolne zostały zaszyfrowane, co wpłynęło na „każdy możliwy aspekt szkolnictwa publicznego hrabstwa Baltimore”.
Mimo dostępności kopii zapasowych istniejących danych koszt przywrócenia sprawności systemów szacuje się na ponad 8 milionów USD. W następstwie ataku trzeba było wyczyścić dyski twarde ponad 9 tysięcy służbowych laptopów oraz wielu urządzeń używanych przez uczniów i zainstalować na nich nowe systemy operacyjne. Część danych oraz konspektów utracono raz na zawsze. Sieć szkół musiała zostać w całości odbudowana od zera.
To wydarzenie spowodowało rozległe zakłócenia w działaniu funkcji wykorzystywanych w toku nauczania zdalnego, które miały tym większe znaczenie z punktu widzenia trwającej pandemii COVID-19. Ten problem dotknął 115 000 uczniów. Długotrwałe przechodzenie na pracę zdalną i hybrydową doprowadziło do zwiększenia się liczby punktów końcowych, co z kolei niosło ze sobą dodatkowe zagrożenia dla cyberbezpieczeństwa,
Choć nie ma potwierdzenia względem tego, czy okup został zapłacony, szkoły publiczne Baltimore podjęły następujące działania:
- Odbudowa i wzmocnienie infrastruktury IT
- Wprowadzenie nowych procesów, takich jak uwierzytelnianie wieloskładnikowe (MFA, ang. Multi Factor Authentication) dla wszystkich członków personelu
- Instalacja zapór ogniowych nowej generacji oraz ulepszonych zabezpieczeń urządzeń
W 2021 roku prezes Stowarzyszenia Nauczycieli Hrabstwa Baltimore, Cindy Sexton, zauważyła, że w przypadku określonych systemów nadal występują zakłócenia, których nie udało się nie wyeliminować; dotyczy to między innymi systemów wynagrodzeń wykorzystywanych przez instytucję. Wielu pracowników otrzymywało wypłaty, które były zawyżone, zaniżone lub opatrzone niewłaściwą datą.
Czego można się nauczyć na podstawie ataków ransomware, jakie miały miejsce w Baltimore?
Choć żądana kwota okupu była znacznie niższa niż koszt usuwania konsekwencji cyberataku, burmistrz Young jasno wskazał kilka przyczyn, dla których okupu nie należało płacić:
- Hakerzy nie powinny być nagradzani za swoje występki, jako że mogłoby to ich zachęcić do kolejnych ataków z użyciem oprogramowania ransomware w przyszłości
- Nie ma żadnej gwarancji, że po dokonaniu wpłaty systemy i powiązane z nimi dane zostaną odblokowane
Ataki z użyciem oprogramowania ransomware, jakie miały miejsce w Baltimore, pokazują jasno, jakie zagrożenia niesie ze sobą korzystanie z przestarzałego oprogramowania zabezpieczającego oraz stosowanie praktyk IT niedostosowanych do aktualnego stanu zagrożenia. Atak ransomware może kosztować Twoją firmę wiele tysięcy lub nawet milionów. Nie chodzi jedynie o usuwanie jego najbardziej odczuwalnych konsekwencji, ale także o straty wizerunkowe. Bardzo ważne jest aktywne podejmowanie działań w celu aktualizowania procesów związanych z cyberbezpieczeństwem:
- Zainstalowanie niezawodnego programu antywirusowego z wbudowanymi narzędziami do ochrony przed narzędziami stosowanymi do ataków ransomware
- Wdrożenie procedury regularnego tworzenia kopii zapasowych
- Utworzenie planu ciągłości biznesowej
- Przeszkolenie personelu w zakresie podstawowych zagadnień dotyczących cyberbezpieczeństwa
Pozwól firmie Avast chronić swoją firmę przed atakami ransomware
Podejmij niezbędne kroki w celu zabezpieczenia i ochrony swojej firmy przed zagrożeniami, jakie niosą ze sobą ataki z wykorzystaniem oprogramowania ransomware. Zainwestuj w oprogramowanie antywirusowe dla firm, które pozwoli zabezpieczyć serwery z systemem Windows, wyeliminować luki w zabezpieczeniach, a także wykrywać złośliwą aktywność w sieci oraz jej zapobiegać.
© 2024 Gen Digital Inc.