Quando o ataque à cidade de Atlanta aconteceu?

Em 22 de março de 2018, a cidade de Atlanta identificou que seus sistemas operacionais e serviços de segurança haviam sido vítimas de um ataque de ransomware. Alguns registros do município também sumiram durante a violação de dados, e muitos funcionários do governo tiveram que criar cópias impressas dos documentos.

O que aconteceu?

Antes do ataque, descobriu-se que a cidade de Atlanta tinha uma infraestrutura de TI frágil, o que a tornava cada vez mais vulnerável a um possível ataque cibernético. Uma auditoria de janeiro de 2018 constatou que:

• O sistema de gerenciamento de segurança da informação (ISMS) da cidade incorporou "políticas, procedimentos e documentos de orientação ausentes ou desatualizados"
• Entre 1.500 a 2.000 vulnerabilidades graves ocorreram
• Cerca de 100 servidores da administração pública operavam com softwares desatualizados
• Havia uma "falta de processos formais para identificar, avaliar e mitigar riscos"

A falta de protocolos de segurança robustos, juntamente com a complacência dos funcionários em relação à segurança cibernética, criou o ambiente perfeito para um ataque cibernético. Em 22 de março, o departamento de Gerenciamento de Informações de Atlanta foi notificado sobre falhas em vários aplicativos internos e de clientes, “incluindo alguns aplicativos que os clientes usam para pagar contas ou acessar informações relacionadas a tribunais”.

Infectando sistemas de Wi-Fi públicos, incluindo redes de aeroportos, bem como os sistemas e redes municipais da cidade, o ataque de ransomware afetou a capacidade dos cidadãos de acessar dados confidenciais ou sensíveis, utilizar aplicativos voltados para o cliente, concluir transações financeiras e pagar contas online. Até um terço dos aplicativos locais também foi criptografado, tornando sistemas, arquivos e documentos inacessíveis. Para acompanhar o ritmo dessa súbita interrupção, as empresas tiveram que voltar a escrever notas e registros à mão.

Identificado como um ataque de ransomware, em particular o ransomware SamSam, os funcionários do governo que tentavam acessar os sistemas e redes afetados eram solicitados a pagar até US$ 50.000 em bitcoins para obter a chave privada que removeria o vírus e concederia acesso aos seus aplicativos.

O que é SamSam?

O ransomware SamSam é um tipo de malware que monitora as atividades da rede para obter mais informações sobre as operações em andamento e avaliar possíveis vulnerabilidades. Ele é diferente de outros ransomwares famosos, como o WannaCry e o Petya, que atacam imediatamente após a violação das redes visadas. O SamSam permite que o criminoso se aprofunde na rede para gerar o máximo de danos e grandes pagamentos de resgate. Ele também remove todos os backups existentes que poderiam ser usados para neutralizar o ataque.

Os cibercriminosos podem obter acesso manual a servidores de rede desatualizados e a dados do sistema das seguintes formas:

• Usando as vulnerabilidades do Protocolo de Área de Trabalho Remota (RDP) para acessar a rede
• Infiltrando-se em servidores de protocolo de transferência de arquivos (FTP)
• Realizando ataques de força bruta contra senhas enfraquecidas

Depois de entrar na rede, o cibercriminoso pode obter autorização e privilégios administrativos, o que lhe permite implementar malware adicional sem ser detectado e desativar ferramentas de segurança, como a autenticação de dois fatores, para evitar a detecção.

O ransomware SamSam é único, pois criptografa dados, arquivos e servidores, mas também todos os elementos e aplicativos fundamentais que podem ajudar a reinicializar qualquer hardware. Isso torna a recuperação de dados um processo arduamente lento. Criar arquivos e criptografá-los com chaves AES (Advanced Encryption Standard) e chaves públicas RSA exclusivas impossibilitará o acesso aos arquivos e garantirá que o pagamento de um resgate deverá ser feito para que os arquivos sejam descriptografados com êxito.

Quando o criminoso cibernético conclui sua operação, é feito um pedido de resgate, solicitando o pagamento por meio de um site Tor de código aberto. Após o pagamento, é fornecida uma chave criptográfica, permitindo que a rede seja descriptografada.

Como a cidade reagiu?

Não está claro se a administração de Atlanta pagou o resgate, mas o impacto financeiro total do ataque de ransomware foi algo sem precedentes. Após a solicitação de um pagamento de US$ 50.000 em Bitcoin, os cibercriminosos removeram a página que permitia que o pagamento fosse feito, levando a cidade a implementar medidas de emergência para o gerenciamento do impacto.

Quais foram as consequências do ataque de ransomware à Atlanta?

O município gastou mais de US$ 2,6 milhões em contratos de emergência para neutralizar o efeito do ataque do ransomware SamSam e restaurar seus sistemas e serviços de computador. O ataque cibernético afetou cinco dos 13 departamentos do governo local da cidade por cinco dias. Esse projeto de lei consistia em serviços de incidentes e resposta da Edelman a um custo de US$ 50.000, custos de pessoal da Atlanta Information Management (AIM), conhecimento especializado da empresa privada Secureworks e especialistas do setor público da Cisco e da Microsoft Cloud para colocar os sistemas novamente online.

Os sistemas que foram afetados pelo ataque de ransomware da cidade de Atlanta entre 22 de março e 2 de abril incluíram o Tribunal Municipal de Atlanta, serviços de pagamento de serviços públicos e serviços de estacionamento. Todos eles tiveram que voltar para o processamento manual. Isso incluiu sistemas de pagamento online e presenciais para serviços básicos, como contas de água.

Entre as instalações de transporte importantes que não foram afetadas, está o Aeroporto Internacional Hartsfield-Jackson de Atlanta, que manteve sua rede Wi-Fi pública desativada por recomendação do FBI, do Serviço Secreto e do Departamento de Segurança Interna. Ao contrário do ataque de ransomware aos hospitais do Reino Unido, que afetou significativamente os serviços essenciais, como bombeiros, polícia e saúde, os serviços de saúde de Atlanta não foram diretamente afetados.

Cinco dias após o ataque, a cidade de Atlanta lançou um centro de informações para atualizações, informando funcionários e residentes que eles podiam ligar seus computadores novamente, mas que um grande número de serviços continuava indisponível. Alguns serviços foram reestabelecidos de forma imediata para os funcionários, como e‑mail, Oracle e Accela. Mesmo assim, outros ainda continuaram indisponíveis, como a rede Wi-Fi pública do aeroporto no ATL, o pagamento online de conta de água (não operacional até maio) e a opção de pagamento online do tribunal (não operacional até junho). No entanto, alguns serviços ou dados foram permanentemente apagados, incluindo vários documentos legais e arquivos de vídeo da polícia.

Após a violação, a prefeita da cidade de Atlanta, Keisha Lance Bottoms, e vários diretores declararam que nenhum dado de cidadãos foi comprometido e que a segurança cibernética permaneceria na vanguarda das políticas governamentais no futuro. A cidade nomeou seu novo diretor de informações, Gary Brantley, em setembro de 2018, juntamente com um novo diretor de operações e diretor de preparação para emergências em junho do ano seguinte.

Em dezembro de 2018, o Departamento de Justiça dos EUA anunciou que um grande júri federal em Atlanta acusou dois cidadãos iranianos pelo sofisticado ataque de ransomware que infectou aproximadamente 3.789 computadores pertencentes à cidade de Atlanta, incluindo servidores e estações de trabalho. O governo local reconheceu que o ataque "interrompeu significativamente as operações da cidade de Atlanta, prejudicou certas funções governamentais e fez com que ela incorresse em despesas substanciais nas semanas e meses seguintes. Até o momento, o ataque causou perdas de milhões de dólares."