När ägde Atlanta-attacken rum?

Den 22 mars 2018 upptäckte staden Atlanta att dess operativsystem och säkerhetstjänster hade fallit offer för en attack med utpressnings­trojaner. En del registrerad information i Atlanta förlorades också under dataintrånget och många kommunalt anställda var tvungna att skapa papperskopior av dokument.

Vad hände?

Före attacken visade sig Atlanta ha en försvagad IT-infrastruktur, vilket gjorde stadens system mer sårbara för en potentiell internetattack. En revisionsberättelse frånjanuari 2018drog följande slutsatser:

• Stadens ISMS (Information Security Management System) innefattade ”saknade eller inaktuella policyer, procedurer och vägledningsdokument”
• Det fanns upp till 1 500–2 000 allvarliga sårbarheter
• Närmare 100 kommunala servrar använde föråldrad programvara
• Det fanns en ”brist på formella processer för att identifiera, bedöma och mildra risker”

En brist på robusta säkerhetsprotokoll, i kombination med en liknöjdhet bland de anställda när det gällde cybersäkerhet, skapade den perfekta miljön för en cyberattack. Den 22 mars underrättades Department of Atlanta Information Management om störningar i flera interna program och kundprogram, ”inklusive vissa program som kunder använder för att betala räkningar eller få tillgång till domstolsrelaterad information.”

Genom att infektera offentliga Wi-Fi-system, inklusive flygplatsens Wi-Fi, såväl som stadens kommunala system och nätverk, påverkade attacken med utpressnings­trojaner medborgarnas förmåga att komma åt konfidentiell eller känslig information, använda kundriktade program, genomföra ekonomiska transaktioner och betala räkningar online. Dessutom krypterades upp till en tredjedel av lokala program, vilket gjorde system, filer och dokument otillgängliga. För att hålla jämna steg med denna plötsliga störning var företagen tvungna att återgå till att anteckna och uppdatera register för hand.

Attacken identifierades som en utpressningstrojanattack, närmare bestämt med utpressningstrojanen SamSam och kommunalt anställda som försökte komma åt system och nätverk som påverkats uppmanades att betala upp till 50 000 USD i Bitcoin för att få den privata nyckeln som tog bort viruset och gav åtkomst till deras program.

Vad är SamSam?

Utpressningstrojanen SamSam är en typ av skadlig kod som övervakar nätverksaktiviteter för att få ytterligare information om pågående verksamhet och utvärdera potentiella sårbarheter. Detta skiljer sig från andra berömda utpressnings­trojaner, såsom WannaCry och Petya som attackerar de utsatta nätverken omedelbart efter intrånget. SamSam gör det möjligt för angriparen att göra en djupdykning i nätverket för att säkerställa maximal skada och stora lösensummor. Det tar också bort alla befintliga säkerhetskopior som kan användas för att motverka attacken.

Hackare kan få tillgång till inaktuella nätverksservrar och systemdata manuellt genom att:

• Använda Remote Network Protocol-svagheter (RDP) för att komma åt nätverket
• Infiltrera File Transfer Protocol-servrar (FTP)
• Genomföra brute force-attacker mot svaga lösenord

När de väl har kommit in i nätverket kan hackare få administrativ behörighet och privilegier, vilket gör att de kan implementera ytterligare skadlig kod utan att upptäckas och inaktivera säkerhetsverktyg, såsom tvåfaktorautentisering, för att undvika att bli upptäckta.

Utpressningstrojanen SamSam är unik, eftersom den krypterar data, filer och servrar, men också alla grundläggande element och program som kan hjälpa till att starta om maskinvara. Detta gör återställningen av data till en besvärlig och långsam process. Att skapa filer och kryptera dem med unika AES-nycklar (Advanced Encryption Standard) och offentliga RSA-nycklar gör åtkomst till filerna omöjlig och garanterar att betalning av en lösensumma måste genomföras för att filerna ska kunna dekrypteras.

När nätbrottslingen har slutfört sitt förfarande ställs ett krav på lösensumma och betalning begärs via en Tor-webbplats med öppen källkod. När betalningen har genomförts tillhandahålls en kryptografisk nyckel som gör det möjligt att dekryptera nätverket.

Hur agerade staden?

Det är oklart om de styrande i Atlanta betalade lösensumman, men den totala ekonomiska effekten av utpressningstrojanattacken var utan motstycke. Efter begäran om en betalning på 50 000 USD i Bitcoin tog hackare bort sidan så att en betalning kunde göras, vilket ledde till att staden implementerade nödåtgärder för att hantera inverkan.

Vad var konsekvenserna av attacken med utpressnings­trojaner i Atlanta?

Staden Atlanta spenderade över 2,6 miljoner USD i nödkontrakt för att motverka inverkan av attacken med utpressningstrojan SamSam och återställa alla datorsystem och tjänster. Cyberattacken påverkade 5 av stadens 13 lokala myndigheter under fem dagar. Räkningen för detta bestod av incident- och återställningstjänster från Edelman till en kostnad på 50 000 USD, personalkostnader vid Atlanta Information Management (AIM), expertis från det privata företaget Secureworks och Cisco och Microsoft Cloud, experter på den offentliga sektorn, för att få tillbaka systemen online.

System som påverkades av utpressningstrojanattacken mot Atlanta mellan 22 mars och 2 april inkluderade Atlantas kommunala domstol, allmännyttiga betalningstjänster och parkeringstjänster, som alla var tvungna att övergå till manuell behandling. Här ingick online- och personliga betalningssystem för grundläggande tjänster, såsom vattenräkningar.

Viktiga transportanläggningar som förblev opåverkade var Hartsfield-Jackson Atlanta International Airport, som höll sitt offentliga Wi-Fi inaktiverat på inrådan av FBI, Secret Service och Department of Homeland Security. Till skillnad från utpressningstrojanattacken mot brittiska sjukhus som avsevärt drabbade verksamhetskritiska tjänster såsom brandkår, polis och sjukvård, påverkades inte Atlantas hälso- och sjukvårdstjänster direkt.

Fem dagar efter attacken lanserade staden Atlanta en informationshubb för att informera medarbetare och invånare att de kunde slå på sina datorer igen, men att ett stort antal tjänster fortfarande var otillgängliga. Även om vissa tjänster omedelbart gick att använda för anställda, såsom e-post, Oracle och Accela, inkluderade tjänster som inte var omedelbart tillgängliga offentlig Wi-Fi på Atlantas flygplats, betalning av vattenräkningar online (fungerade inte förrän i maj) och domstolens onlinebetalningsalternativ (fungerade inte förrän i juni). Vissa tjänster eller data förblev dock permanent raderade, inklusive flera juridiska dokument och polisvideofiler.

Efter intrånget uppgav Atlantas borgmästare Keisha Lance Bottoms och flera högt uppsatta chefer att inga medborgardata hade äventyrats och att cybersäkerhet även fortsättningsvis kommer att prioriteras av de styrande. Staden utsåg sin nya Chief Information Officer, Gary Brantley, i september 2018, och en ny Chief Operations Officer och Director of Emergency Preparedness i juni följande år.

I december 2018 meddelande det amerikanska justitiedepartementet att en federal åtalsjury i Atlanta åtalade två iranska medborgare för den sofistikerade utpressningstrojanattacken som infekterade cirka 3 789 datorer tillhörande staden Atlanta, inklusive servrar och arbetsstationer. Kommunledningen erkände att attacken ”avsevärt störde staden Atlantas verksamhet, försämrade vissa kommunala funktioner och orsakade betydande utgifter under de kommande veckorna och månaderna. Hittills har attacken orsakat miljontals dollar i förluster.”