Baltimoren 911-järjestelmä, Boeing liittyy Atlanta an vuonna viikko salaus-haittaohjelmien puhkeamista

Ransomware otti Baltimoren 911-järjestelmän offline-tilaan 24. ja 25. maaliskuuta, kun kaupungin IT-osasto työskenteli eristääkseen ja palauttaakseen tietokoneavusteisen lähetysverkon.Enlarge / Ransomware otti Baltimoren 911-järjestelmän offline-tilaan maaliskuussa 24 ja 25, kun kaupungin IT-osasto työskenteli eristääkseen ja palauttaakseen tietokoneavusteinen lähetysverkko.Kim Hairston / Baltimore Sun / TNS Getty Images -sovelluksen kautta

Viime perjantaina Atlannan kaupunkiin iski ransomware hyökkäys, joka vei suuren osan kaupungin sisäisistä ja ulkoisista palveluista offline-tilassa. Tästä päivästä lähtien monet näistä palveluista on palautettu, mutta kaksi julkista portaalia on offline-tilassa. Lauantaina Baltimoren 911-järjestelmän automaattinen lähetysverkko oli myös otettu offline-tilassa ilmeisen ransomware-hyökkäyksen kautta. Ja eilen Boeingin Charleston-tehdas, joka valmistaa komponentteja Boeingin 777 ja muut kaupalliset suihkukoneet sekä ilmavoimien lentokoneita varten KC-46-säiliöalus – iski sen, mitä alun perin ilmoitettiin olevan WannaCry-haittaohjelma.

Vaikka tässä vaiheessa ei ole selvää, ovatko nämä hyökkäykset liittyviä millään tavalla, sekä yritysten että hallituksen haavoittuvuus virastot – etenkin paikallishallinnot – tällaisiin hyökkäyksiin on osoitettu jatkuvasti viime vuosina. Jopa niin organisaatiot ovat siirtyneet käsittelemään haavoittuvuuksia, jotka olivat hyödynnetty ensimmäisissä ransomware- ja ransomware-lookalike-aalloissa hyökkäykset, hyökkääjät ovat muuttaneet taktiaan löytääkseen uusia tapoja verkkoihin hyödyntämällä jopa ohimeneviä puolustuspuutteita saadakseen tuhoisa jalansija.

Baltimoren 911-hätäviikonloppu

Baltimore 911 -järjestelmän tapauksessa ransomware-tyyppi hyökkäys ei ole vielä selvä, mutta kaupungin tärkeimmät tietojärjestelmät virkamies vahvisti, että Baltimoren tietokoneavusteinen lähetys (CAD) ransomware käytti järjestelmän offline-tilassa. Arsille lähetetyssä julkaisussa Technica, Baltimoren tiedotusjohtaja ja digitaalinen päällikkö Upseeri Frank Johnson kertoi, että CAD-verkko suljettiin viikonloppu “ransomware-tekijöiden vuoksi” ja että kaupunki IT-tiimi pystyi “eristämään rikkomuksen itse CAD-verkkoon”. CAD – verkkoon kytketyt järjestelmät, mukaan lukien Baltimoren kaupungin poliisilaitos otettiin offline-tilassa estääkseen lunasohjelman leviäminen.

“Kun kaikki järjestelmät on tarkastettu oikein, CAD palautettiin verkossa “, Johnson sanoi.” Mitään kansalaisen henkilötietoja ei ollut vaarannettu tässä hyökkäyksessä. Kaupunki jatkaa työskentelyään sen kanssa liittovaltion kumppanit selvittääkseen hyökkäyksen lähteen. ”

Baltimore-hyökkäyksessä tarkka ransomware-tyyppi on ei paljastettu, lähtökohta on ainakin osittain ollut tunnistettu. Johnson sanoi, että Baltimore City Information Teknologiatoimisto oli päättänyt “haavoittuvuuden olevan seurausta palomuurin sisäisestä muutoksesta, jonka teknikko vianmääritys liittymättömään viestintäongelmaan CAD: n sisällä Järjestelmä.”

Palomuurimuutos oli ilmeisesti vain neljä tuntia vanha ennen hyökkääjät hyödyntivät sitä. Kuilu havaitsi todennäköisesti hyökkääjä automatisoidun tarkistuksen avulla. Mutta Baltimoren kaupunki tiedottaja sanoi, että lisätietoja ei voitu jakaa, kun tutkinta oli käynnissä.

Atlantan lunnaohjelmien viikko

Atlantan tapauksessa pääsykeinoja ei ole paljastettu, mutta hyökkäyksen tyyppi on tunnistettu: ransomware-viesti vastaa Samsamin haittaohjelmakantaa, joka havaittiin ensimmäisen kerran vuonna 2015. Ransomware-ohjelmiston takana olevat hyökkääjät vaativat 51 000 dollaria bitcoin tarjoamaan salausavaimet kaikille asiaan liittyville järjestelmiin.

Atlantin virkamiesten mukaan Atlanta Information Management (AIM) sai ensimmäisen kerran tietoon hyökkäyksestä “torstaina 22. maaliskuuta klo Klo 5.40, mikä vaikutti erilaisiin sisäisiin ja asiakassuhteisiin sovellukset, joita käytetään laskujen maksamiseen tai oikeuteen liittyviin oikeuksiin tiedot.”

Laskujen maksujärjestelmä, joka käyttää Kauris-Java-pohjaista Ontario-pohjaisen SilverBlazen itsepalveluportaali – pysyy offline-tilassa. Tuomioistuimen hieno- ja lippujen maksujärjestelmä on osittain varmuuskopioitu, mutta Windows Internet Information Server -pohjainen järjestelmä pääsy tapaustietoihin on edelleen alhaalla. Jotkut sisäiset järjestelmät – on kunnostettu, – Atlantan viestintätoimisto.

Atlanta-kaupungin järjestelmien ja aikaisemman hyökkäyksen analyysi Samsam-vektorit ehdottavat kahta mahdollista lähtöpistettä, molemmat liittyy nykyisiin julkishallinnon järjestelmiin offline-tilassa. Samsamin hyökkäykset vuonna 2016 ja vuoden 2017 alkupuolella, kuten esimerkiksi seuraava Baltimoren Unionin muistomerkki – sairaala hyödynsi haavoittuvuuksia avoimen lähdekoodin Java-alustat. Mutta Dellin raportin mukaan Secureworks, uudemmat hyökkäykset ovat kääntyneet raa’aan voimaan salasanahyökkäykset etätyöpöytäprotokollan pääsyn saamiseksi palvelin, sitten suorittamalla asennettavat PowerShell-skriptit salasanankerämistyökalut ja itse lunastusohjelmat.

Perustuu Shodan-palvelun, Kauris-portaalin maksamiseen Atlantan vesilaseissa käytettiin Apache Tomcatia ja yhtä tuomioistuimesta tietojärjestelmillä oli avoin RDP-portti sekä palvelinviesti Estä (SMB) verkottuminen näkyvästi julkisesta Internetistä. Atlantaon muuttanut suuren osan muusta kaupungin tuomioistuinjärjestelmästä Microsoftin Azure-pilvi.

Vaikka yksi henkilö väittää tietävänsä Atlantasta ransomware-hyökkäys uskoi Kauris-palvelimen olevan mukana, SilverBlaze -yrityksen perustajapartneri Dan Mair kiisti voimakkaasti sen, että Yrityksen ohjelmisto vaarantui Atlantan hyökkäyksessä yksinkertaisesti: “Kunnioittavasti tietosi ovat vääriä.”

Kuvan jälkeen, joka näyttää lunnaussivun Web-osoitteen Atlanta Samsam -infektio vuoti, kuten kansalaisjärjestöjen edustaja Steve Ragan kertoi, hyökkääjät sulkivat sivun.

Boeing siellä

Boeingin tapaus on paljon epäselvämpi ja todennäköisimmin sellainen pysy sellaisena. Boeingin antaman lausunnon mukaan Kaupallisten lentokoneiden viestintäjohtaja Linda Mills, Boeingin tietoturvaoperaatioiden keskus “havaitsi rajoitetun haittaohjelmien tunkeutuminen, joka vaikutti pieneen määrään järjestelmiä. ” Mills sanoi, että “korjaavia toimenpiteitä tehtiin; tämä ei ole tuotanto- ja toimituskysymys “- tarkoittaen, että valmistus ei ollut merkittävästi keskeytetty. Mills kertoi The Seattle Timesille, että tapahtuma “rajoitettiin muutamiin koneisiin. Käyttöönotimme ohjelmistoja laastaria. 777-suihkutusohjelmaan tai mihinkään siitä ei ollut keskeytystä ohjelmassamme. ”

Se ei ollut se, kuinka The Seattle Times “katsoi sisäisiä sähköpostiviestejä” Dominic Gates luonnehti aluksi jaksoa. Viesti Boeingin kaupallisten lentokoneiden tuotannon pääinsinööri Mike VanderWel varoitti, että haittaohjelmat “leviävät nopeasti pohjoisesta Charleston, ja kuulin juuri 777 [automatisoidut spar-asennustyökalut] “Mutta nämä huolet näyttivät olevan liioitteleva.

Haittaohjelma ei todennäköisesti ole alkuperäinen WannaCry, joka iski tietokoneisiin maailmanlaajuisesti viime toukokuussa. WannaCry – jonka Yhdysvallat äskettäin virallisesti julistaman hallituksen aloitti Pohjois Korea – vipuvaikutus Eternalblue, NSA: n kehittämä Microsoftin hyödyntäjä Windowsin SMB- ja NetBIOS-protokollat ​​TCP / IP (NBT) -protokollat ​​tunnistamiseksi uusia tavoitteita ja levittää itsensä verkkoihin. Sillä voi kuitenkin olla ollut uusi versio, joka käyttää samaa hyväksikäyttöä. Vaihtoehtoisesti se voisi ovat olleet järjestelmä, jonka WannaCry on aikaisemmin saastuttanut käynnistettiin uudelleen verkossa, jossa se ei päässyt verkkotunnusjoukkoon haittaohjelman “tappaa kytkimenä” ja alkoi levittää uudelleen.

Mikä tahansa Boeingin haittaohjelma oli, näyttää siltä, ​​että se on ollut havaittu ja pysäytetty nopeasti. Suurempi kysymys – miten se pääsi Boeingin Charlestonin tehdas aluksi – ei todennäköisesti paljasta lähiaikoina.

Samaan aikaan Denverin teksti-911-palvelu oli alhaalla yön yli, yhdessä 311: n ja muiden Internet-pohjaisten palveluiden kanssa. Ars päivittää tämän tarinan, jos kyseiset seisokit olivat ransomware liittyviä.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: