Noll
Staden Atlanta nätverk sägs vara infekterade med SamSam ransomware. (Bild: stock photo)
Det har gått nästan en vecka sedan Staden Atlanta blev påkörd av en ransomware attack, som krypterade uppgifterna staden och ledde till avstängning av vissa tjänster.
Borgmästare Keisha Lance Bottnar sade i en presskonferens på måndagen att stadens regering arbetar på att återställa nätverket efter lösen anteckningar dök upp på datorn visas på torsdag eftermiddag. Staden har anställt lokala it-företaget SecureWorks för att bedöma situationen.
Rapporter säger att den beryktade SamSam ransomware användes i Atlanta attack som utnyttjar en avserialisering sårbarhet i Java-baserade servrar. Uppgifter om attacken är fortfarande till stor del okänd, men en tidig undersökning kan ha identifierat vem som ligger bakom attacken, sade SecureWorks vd Michael Cote. Nästan en miljon dollar har skördats från andra företag som var smittade och betalade lösen. Det är inte känt om Atlanta kommer att betala lösen.
“Attacken är en viktig påminnelse om behovet av att se till att staden är att den digitala infrastrukturen är säkra och upp till datum”, sade Bottnar i en måndag presskonferens.
Men enligt en säkerhet i företaget, i förra veckan cyberattack inte var en överraskning, eftersom staden hade fallit offer för en läckt regeringen utnyttjar används i WannaCry utbrott.
Nya uppgifter från Augusta, Ga.-baserat it-företaget Överlämnanden Infosec, ses av ZDNet, visar att staden nätverk var tyst infekterade förra året med läckta bedrifter som utvecklats av National Security Agency.
It företagets grundare Jake Williams sade att minst fem av internet-inför city-servrar var infekterade med NSA-utvecklat DoublePulsar bakdörr i slutet av April till början av Maj 2017.
Det var mer än en månad efter att Microsoft släppte kritiska patchar för bedrifter och uppmanar användare att installera.
NSA utnyttjar stals 2016 i en av de största överträdelser av sekretessbelagda filer eftersom ljuset upplysningar. De hackare som stulit bedrifter, som kallas Skuggan Mäklare, ett försök att auktionera ut filer, men misslyckades.
Microsoft lärt sig av stöld av dessa verktyg och av rädsla för att de skulle användas eller offentliggörs, företaget tyst släppt säkerhetsuppdateringar för attack i Mars. Veckor senare, verktyg dumpades på nätet för vem som helst att använda.
Enligt Williams, stadens nätverk var kvar okorrigerad för veckorna-vilket gör dem sårbara för ransomware attacker.
“Baserat på våra uppgifter kan vi säga att för att en organisation av sin storlek, staden Atlanta hade en undermålig säkerhet hållning i April 2017, vilket gör att omfattningen av ransomware attack långt ifrån överraskande,” Williams berättade ZDNet.
Williams skrev också upp sina fynd tisdagen i ett utförligt blogginlägg.
Bara två veckor senare, den WannaCry ransomware attack hit. Attacken var den största i sitt slag — sprider sig över flera länder, som infekterar hundratusentals datorer. Den ransomware som används som läckt NSA utnyttja dubbade EternalBlue, som angriper ett fel i Windows SMB, och droppar DoublePulsar bakdörr och väntar. Det är som DoublePulsar bakdörr som gör det möjligt för en angripare att köra distans ett skadliga koden-som ransomware.
Williams säger att hans företag upptäckt till 148 000 infekterade maskiner på topp — maskiner som var direkt ansluten till internet. Men det tar inte hänsyn till det stora antalet maskiner som är anslutna till de infekterade servrar — sannolikt att sätta det slutliga antalet maskiner på risken betydligt högre.
Williams slutade scanning för infekterade servrar bara av en slump innan WannaCry attack, eftersom säkerhetskorrigeringar som tillämpas, antalet utsatta system var på väg ner.
Det är inte känt om Atlanta lappade sina nätverk under denna period på två veckor före WannaCry attack.
När du nått en talesman för Staden Atlanta kunde inte kommentera specifika frågor som vi hade.
Williams bekräftat att från och med måndag, ingen av Atlanta system är fortfarande infekterade av NSA bedrifter — men, sade han, det är inte känt om sanering är ett svar på torsdagens cyberattack eller inte.
Atlanta återvinning ansträngningar fortsätter “dygnet runt”, säger Bottnar.
REDERIETS säkerhets-reportern Steve Ragan rapporterade tidigare på tisdagen att portalen används för att betala lösen — om staden beslutar sig för att göra så — har varit dras offline av ransomware angripare. En skärmdump av en stad anställdes dator, som ingår i den mörka-web-adressen används för att komma betalning portal, var publicerade av lokala medier.
Även om vissa av stadens maskiner är långsamt tillbaka på nätet, många system förblir låsta. För nu, är det inte känt när-eller ens om-staden kommer att få fullt igång.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Stämningar hotar infosec forskning — precis när vi behöver det som mest
NSA: s Ragtime-programmet mål Amerikaner, läckt ut filer visa
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0