Nul
Als ze op het ontvangende einde van een ransomware aanvallen, een van de eerste dingen die de slachtoffers kunnen doen is de politie bellen, maar wat gebeurt er als de politie zelf het slachtoffer van ransomware?
Een law enforcement agency dat zich getroffen door een ransomware aanvallen werd de Lauderdale County Sheriff ‘ s Department in Meridian, Mississippi op 28 Mei 2018.
“Onze IT-manager contact met mij — en eerst dacht ik dat hij een grap maakte toen hij zei: we hebben een groot probleem”, zegt chief plaatsvervangend Wijk Calhoun van Lauderdale County Sheriff ‘ s Department.
“Je hoort over dit soort dingen gebeurt waar netwerken worden aangetast, maar het is altijd het idee dat het zal gebeuren met iemand anders, het zal niet gebeuren voor ons. Maar hij vertelde me dat je nodig hebt om te komen naar mijn kantoor, dit is serieus, we hebben een probleem. We hebben samen en hij legde me uit dat we de slachtoffers van ransomware aanvallen.”
De afdeling had het slachtoffer te zijn van een variant van de Dharma ransomware en de meeste van haar systemen afgebroken door de aanval.
“Het was op de meeste van de systemen voor onze afdeling, specifiek, software, doen wij ons rapport management van incidenten en onderzoeken,” Calhoun wordt uitgelegd.
“Het bijna bracht ons naar een status quo. Het was verschrikkelijk, dat je weet dat je had van informatie zijn er; we moesten gevallen zijn we bezig waren, maar we konden niet alles doen, want we konden geen toegang krijgen tot de informatie meer. Het was erg frustrerend en een van die dingen zou je niet denken dat het ooit zou gebeuren.”
Zie ook: Wat is ransomware? Alles wat u moet weten over een van de grootste bedreigingen op het web
Maar Lauderdale County is verre van de enige afdeling van de politie te hebben gevonden, zelf het slachtoffer van ransomware aanvallen door cybercriminelen; ongeveer 500 km naar het westen, Lamar County Sheriff ‘ s Department in Texas vond ook zelf het slachtoffer van een niet-gerelateerde ransomware aanvallen — slechts een week voordat Lauderdale werd geraakt.
“We kregen een oproep van verzending dat onze computer-aided dispatch niet werkte en dat het internet ging in die afdeling. Dus mijn helper HET ging er over denken het was een schakelaar die is gestopt met werken en hij zou vervangen en verder te gaan,” zegt Joel Witherspoon, IT-manager bij Lamar County Sheriff ‘ s Department.
“Maar toen hij daar kwam, zag hij, dat was niet het probleem. Wanneer hij zijn aangemeld op de server, de achtergrond nam het hele scherm en zei: je hebt is geïnfecteerd met ransomware”, legt hij uit. “Ik wist dat we waren en het was vrij slecht.”
De ransomware beïnvloed een aantal desktop Pc ‘ s en twee servers gebruikt voor het downloaden en opslaan van video-opnamen, gemaakt door eenheden op patrouille. Die video ‘s automatisch geüpload naar de servers wanneer een toestel keert terug naar de Sheriff’ s Office — en zij zou worden gecodeerd met ransomware.
“Het was geweldig voor mij. Ik doe dit voor 13 jaar en het is onze ergste nachtmerrie,” Witherspoon zegt.
Veel ransomware aanvallen komen als een gevolg van het slachtoffer te klikken op een phishing-link of wordt geïnjecteerd met malware na het bezoeken van een gehackte website, maar in dit geval, de kwaadaardige software een manier gevonden om via een vergeten exemplaar van remote desktop-software die is aangesloten op de video ‘ s opgeslagen op de server.
Voor Lauderdale County, een oude, vergeten wachtwoord werd misbruikt door aanvallers om het leveren van ransomware.
“Het was een opportunistische aanval. We hadden een zwak wachtwoord van een verleden beheerder dat nog niet is gebruikt voor het zeven of acht jaar, maar was nog steeds in ons systeem en was nog nooit verwijderd. Dat was de deur ze waren in staat om de hamer over genoeg om in ons netwerk”, zegt chief plaatsvervangend Calhoun.
Geven in het rantsoen, de vraag was nooit een optie voor een sheriff ‘ s office, maar de opmaak van complete systemen en het terugkeren naar back-ups was ook ongewenst, want het zou zo tijdrovend zijn, vooral in het geval van Lauderdale County: de ransomware had gecompromitteerd meerdere lagen van de back-up servers.
“We hadden drie lagen van back-up en de ransomware had gekregen om de eerste twee en de derde laag is een tape systeem,” zegt Calhoun — en de gegevens op de banden was vier weken oud, dus een maand van gegevens mogelijk over te zijn gegaan.
Er was echter nog een andere manier: de Sheriff ‘ s Office draaide zich om MonsterCloud, een cybersecurity bedrijf dat is gespecialiseerd in de ransomware verwijdering en terugwinning — een service die het biedt gratis agentschappen van de wetshandhaving. Als een resultaat, Lauderdale County in staat was om terug te krijgen up and running in dagen.
“Zij waren in staat om de meeste van onze gegevens in 36 uur”, zegt Calhoun.
Bij Lamar County, Monster Cloud is ook aan te raden om Joel Witherspoon, niet alleen het opslaan van de gecodeerde gegevens — met inbegrip van de belangrijke video-opnamen, maar ook veel tijd en inspanning die het zou hebben gemaakt bellen technologie leveranciers en vragen om de diensten opnieuw te worden geïnstalleerd.
Zie ook: Ransomware: Een cheat sheet voor professionals
“We hebben zeker had het volledig afsluiten van de servers, installeren de server software opnieuw installeren van het besturingssysteem zelf vervolgens opnieuw installeren van alle virtuele machines,” Witherspoon zegt.
“We hebben afgehandeld duizenden gevallen van ransomware Dharma Crisis”, zegt de Zohar Pinhasi, CEO van Monster Cloud, waarin één bepaalde variant van de malware-familie.
“Deze groep, ze zijn op een rampage. We krijgen tussen de 30 en 200 gesprekken per dag over. Deze uitbraak is van invloed op bedrijven in de VS en de wereld.”
Het is waarschijnlijk geen troost voor de sheriff kantoren, maar het is waarschijnlijk dat de aanval plaatsvond niet omdat ze de wet handhaving, maar omdat de aanvallers zag een zwakte en uitgebuit. Echter, de lessen die zijn geleerd uit de incidenten, met extra beveiliging en opleiding in de plaats gezet in een poging te voorkomen dat het weer gebeurt.
“Een van de dingen over de menselijke natuur is dat we de neiging te willen nemen de makkelijkste weg en vaak als je het over de veiligheid van de netwerken, zoals deze, gemakkelijk is het niet goed: gemakkelijke manier maak je het gemakkelijk voor de slechteriken te krijgen,” zegt Calhoun.
“Er is een fijne balans, vooral in de overheid, tussen het gebruik van technologie te werken met de gemeenschap en het verstrekken van informatie. Je hebt nog steeds om zijn deuren open voor mensen om informatie te verkrijgen, informatie te bekijken, maar je moet om het te doen op een veilige manier.”
Nu nog meer te investeren in het netwerk beveiliging met wachtwoorden worden regelmatig verschoond en het IT-team de controle van het systeem voor de abnormale activiteit op een dagelijkse basis, dus zelfs als er slechts een hint dat er iets niet kan kloppen, het kan onmiddellijk worden behandeld.
Lamar County heeft ook de implementatie van een nieuwe veiligheidsmaatregelen, een virtueel privé netwerk en investeren in nieuwe software die automatisch back-ups van het systeem om de 15 minuten — dus, als de afdeling een of andere manier slachtoffer worden van een aanslag, de dagen van de gegevens mag niet verloren gaan. Maar het ministerie hoopt dat het niet altijd nodig om te leren hoe goed de back-up software.
“Ik wil het niet weten, maar we weten niet hoe goed dat werkt, tenzij er iets gebeurt,” zegt Witherspoon. “We hopen dat het nooit weer gebeurt, maar om eerlijk te zijn, het is nog steeds in de achterkant van mijn hoofd de hele tijd.”
Maar één ding is zeker-hij houdt niet van degenen die de aanval in hoge achting.
“Wie in de stront zou willen opnemen over oude Lamar County in Texas? We ain ‘t heb geen geld om te betalen, geen stinkin’ Bitcoins — voor mij was het een dwaze aanval in de eerste plaats. Als je gaat na doelstellingen die kleine, gewoon stoppen en iets anders doen!”
LEES MEER OVER CYBER SECURITY
· Waarom WannaCry ransomware is nog steeds een bedreiging voor uw PC
· SamSam ransomware gemaakt door Iraanse hackers, zegt het AMERIKAANSE ministerie van justitie CNET
· Nieuwe SamSam ransomware campagne gericht op doelen in de VS
· 73% van de organisaties hebben slechts 1 persoon het bijwerken van hun systemen TechRepublic
· Phishing-aanvallen: Waarom is e-mail nog zo een gemakkelijk doelwit voor hackers?
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0