Noll
När de är på den mottagande änden av en ransomware attack, en av de första saker offren kan göra är att ringa polisen-men vad händer när polisen själva faller offer för ransomware?
En polis som befann sig träffad av en ransomware attack var Lauderdale County Sheriff ‘ s Department i Meridian, Mississippi den 28 Maj 2018.
“Vår IT-chef kontaktade mig — och först trodde jag han skämtade när han sa att vi har ett stort problem”, säger chefen vice Församling Calhoun av Lauderdale County Sheriff ‘ s Department.
“Du hör om sådana här saker händer där nätverk är att äventyras, men det är alltid tanken att det ska hända någon annan, det kommer inte att hända oss. Men han sa till mig som du behöver komma till mitt kontor, det här är allvarligt, vi har ett problem. Vi fick tillsammans och han förklarade för mig att vi är offer för en ransomware attack.”
Institutionen hade fallit offer för en variant av Dharma ransomware och de flesta av sina system tas ner av attacken.
“Det var på de flesta av de system för vår avdelning, särskilt vår mjukvara, som vi gör vårt betänkande hantering av incidenter och utredningar,” Calhoun förklarar.
“Det nästan förde oss till ett stillastående. Det var hemskt, att veta att du hade information där, vi hade de fall vi arbetar med, men vi kunde inte göra något eftersom vi inte kunde komma åt den informationen längre. Det var mycket frustrerande och en av de saker du skulle inte tror någonsin skulle hända.”
Se även: Vad är ransomware? Allt du behöver veta om en av de största hot på webben
Men Lauderdale Län är långt ifrån den enda polisen för att ha hittat sig själv offer för en ransomware attack av cyber brottslingar, ca 500 km väster, Lamar County Sheriff ‘ s Department i Texas också befann sig offret av en oberoende ransomware attack-bara en vecka innan Lauderdale var hit.
“Vi fick ett samtal från avsändandet att våra computer-aided dispatch inte fungerar och att internet gick ner i den avdelningen. Så min DET helper gick över där och tänkte att det var en switch som slutade fungera och han skulle ersätta det och gå vidare, säger Joel Witherspoon, IT-chef för Lamar County Sheriff ‘ s Department.
“Men när han fick det, han såg att det var inte problemet. När han loggat in på servern, bakgrundsbild tog upp hela skärmen och sa att du har blivit smittad med ransomware”, förklarar han. “Jag visste att vi var ner och det var ganska dåligt.”
Den ransomware påverkat vissa stationära Datorer och två servrar som används för att hämta och lagra videoinspelningar som görs av enheter ute på patrull. Dessa videor automatiskt laddas upp till servern när enheten återgår till Sheriff ‘ s Office — och de hade blivit krypterad med ransomware.
“Det var fantastiskt för mig. Jag har gjort detta i 13 år och det är vår värsta mardröm,” Witherspoon säger.
Många ransomware attackerna kommer som en följd av offret att klicka på en phishing-länk eller att injiceras med skadlig kod efter att ha besökt en nedsatt webbplats, men i det här fallet, skadlig programvara hittat ett sätt att via en bortglömd instans av remote desktop programvara som är anslutna till videor som är lagrade på servern.
För Lauderdale Län, ett gammalt, glömt lösenord kunde utnyttjas av angripare för att leverera ransomware.
“Det var en opportunistisk attack. Vi hade ett svagt lösenord från en tidigare administratör som inte hade använts för sju eller åtta år, men det var fortfarande i våra system och hade aldrig tagits bort. Det var den dörr de kunde hammare på tillräckligt för att komma in i vårt nät, säger chefen vice Calhoun.
Att ge till lösen efterfrågan var aldrig ett alternativ för antingen sheriff ‘ s office, men formatering av hela system och återställa säkerhetskopior var också önskvärt eftersom det skulle vara så tidskrävande, särskilt i fråga om Lauderdale Län: ransomware hade äventyras flera lager av backup-servrar.
“Vi hade tre lager av backup och ransomware hade fått de två första och det tredje lagret var ett band systemet, säger Calhoun — och data på band var fyra veckor gamla, vilket innebär en månad efter data som potentiellt var på väg att gå förlorad.
Det var dock ett annat sätt: Sheriff ‘ s Office vände sig till MonsterCloud, ett it-företag som specialiserat sig på ransomware removal and recovery-service och erbjuder gratis till brottsbekämpande organ. Som ett resultat, Lauderdale Län kunde få tillbaka upp och kör i dagar.
“De skulle kunna få de flesta av våra uppgifter i cirka 36 timmar, säger Calhoun.
På Lamar Län, Monster Moln rekommenderades också att Joel Witherspoon, inte bara sparar krypterad data — inklusive de viktiga video-inspelningar — men också en hel del tid och ansträngning som skulle ha spenderat på att ringa leverantörerna av teknik och ber om tjänster installeras om.
Se även: Ransomware: En lathund för proffs
“Vi har definitivt tvungen att helt stänga ner servrar, installera programvara för server, installera om operativsystemet i sig sedan installera om alla virtuella maskiner,” Witherspoon säger.
“Vi har behandlat tusentals ransomware fall av Dharma Krisen, säger Zohar Pinhasi, VD Monster Moln, med utförliga uppgifter om en viss variant av den familj av skadlig kod.
“Denna grupp, de har varit på en rampage. Vi får mellan 30 och 200 samtal per dag om det. Detta utbrott är som påverkar företag i hela USA och världen.”
Det är osannolikt att det skulle vara någon tröst till sheriffens kontor, men det är troligt att attacken inträffade inte för att de är brottsbekämpande, men eftersom angriparna såg en svaghet och utnyttja den. Men, vi har lärt oss från incidenter, med extra säkerhet och utbildning som införts i ett försök att förhindra att det händer igen.
“En av de saker om den mänskliga naturen är att vi tenderar att vilja ta den enklaste vägen och många gånger när man pratar om nät som denna, lätt är inte bra: enkla medel kan du göra det lätt för skurkarna att få i, säger Calhoun.
“Det är en fin balans, särskilt i regeringen, mellan att använda teknik för att arbeta med det omgivande samhället och informera. Har du fortfarande att ha dörrar öppna för människor att få information, visa information, men du måste göra det på ett säkert sätt.”
Nu mer investeringar har tagits i nätverk, säkerhet, lösenord regelbundet ändras och DET laget är övervakning av systemet för onormal aktivitet på en daglig basis, så även om det bara är en ledtråd på att något kan vara fel, det kan behandlas omedelbart.
Lamar Län har också infört nya säkerhetsåtgärder, driva ett virtuellt privat nätverk och investera i ny programvara som automatiskt säkerhetskopierar systemet varje 15 minuter — så, om institutionen på något sätt faller offer för en attack, dagar av uppgifter som inte får gå förlorade. Men institutionen hoppas att det inte någonsin behöver för att lära dig hur bra backup-program är.
“Jag vill inte hitta ut, men vi vet inte hur väl det fungerar om något händer, säger Witherspoon. “Vi hoppas att det aldrig händer igen, men för att vara ärlig med dig, det är fortfarande i bakhuvudet hela tiden.”
Men en sak är säker-han håller inte de som utfört attacken i hög aktning.
“Vem i skiten skulle vilja plocka på lite gamla Lamar County, Texas? Vi har inte fått några pengar för att betala någon stinkin’ Bitcoins-till mig att det var ett dumt attack i första hand. Om du tänker efter mål som små, bara sluta och göra något annat!”
LÄS MER OM IT-SÄKERHET
· Varför WannaCry ransomware är fortfarande ett hot mot din PC
· SamSam ransomware som skapats av Iranska hackare, säger AMERIKANSKA Justitiedepartementet CNET
· Nya SamSam ransomware kampanj syftar till mål över OSS
· 73 procent av orgs har bara 1 person att uppdatera sina system TechRepublic
· Phishing-attacker: Varför är e-post fortfarande en lätt måltavla för hackare?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0