L’Agència de Seguretat Nacional dels Estats Units (NSA) ha negat que cap dels seus eines de pirateria informàtica els hagi utilitzat els ciberdelinqüents per propagar un atac als sistemes governamentals de Baltimore.

L’atac ha paralitzat els serveis de la ciutat des de fa diverses setmanes, mentre els funcionaris es plantegen la propera mesura. Segons un comunicat difós pel representant C.A. Ruppersberger holandès, funcionaris de la NSA que van parlar amb ell, van negar que les eines desenvolupades per l’agència s’utilitzessin per segrestar o interrompre els sistemes informàtics governamentals vitals.

Seguint la declaració de l’alcalde Bernard Young, la ciutat no busca pagar el rescat exigit pels autors, que és de 3 bitcoins per sistema infectat. Els funcionaris governamentals admeten que podrien passar mesos fins que es restauressin totes les plataformes

Tot i que la gran majoria dels sistemes de la ciutat van ser apagats arran de l’atac de programari maliciós, els sistemes crítics com les xarxes 911 i 311 no van quedar afectats i continuen activats. El Wall Street Journal informa que aproximadament 10.000 ordinadors governamentals estaven infectats i molts encara estan bloquejats.

De moment, hi ha retards en el processament de les vendes d’habitatges perquè els sistemes afectats no es poden utilitzar per revelar detalls sobre venedors de propietats, com ara els embargaments no pagats. Aquesta informació s’ha de comunicar a les asseguradores, però actualment és inaccessible. Els sistemes de facturació de l’aigua també s’han vist afectats i, per tant, els clients no rebran factures durant un temps. És probable que la demora provoqui un augment de les càrregues quan es resolgui la situació.

A continuació es mostra un fragment del document declaració oficial de l’alcalde proporcionant una visió general de la situació actual.

“No puc proporcionar-vos una cronologia exacta sobre quan es restauraran tots els sistemes. Com qualsevol gran empresa, tenim milers de sistemes i aplicacions.

El nostre objectiu és recuperar serveis crítics en línia i fer-ho de manera que ens asseguri que mantenim la seguretat com una de les nostres principals prioritats durant tot aquest procés. És possible que els serveis parcials comencin a restaurar-se en qüestió de setmanes, mentre que alguns dels nostres sistemes més complicats poden trigar mesos en el procés de recuperació “.

Google ha desactivat els comptes de Gmail de Baltimore

Després de l’atac, aparentment els treballadors del personal governamental de Baltimore van intentar establir comptes temporals de Gmail com a solució després de la desactivació dels sistemes infectats i segons el Baltimore Sun, molts d’ells eren discapacitats.

Inicialment no estava clar per què va passar això, però Brooks Hocog, un portaveu de Google, va explicar que la creació massiva de comptes de Gmail en una àrea geogràfica localitzada va desencadenar el sistema de seguretat de la companyia que va desactivar-ne la gran majoria. Segons els informes, molts van ser restaurats poc després de la declaració publicada.

Com es va produir la infecció

Els pirates informàtics van poder infectar milers de sistemes informàtics en un període de temps molt curt mitjançant la presumpta utilització de EternalBlue, una eina de pirateria de la NSA filtrada. El 7 de maig, els treballadors del govern de la ciutat es van despertar per trobar sistemes de fitxers crítics xifrats amb ransomware.

Els delinqüents cibernètics exigien el pagament en bitcoin. Tot i que els sistemes es van retirar immediatament fora de línia i l’FBI va trucar per investigar, el sistema de correu de veu de l’administració municipal i la base de dades de multes d’aparcament, entre d’altres, s’havien encriptat. La firma de seguretat cibernètica, Armour, va compartir una imatge redactada de la nota que va deixar el hackers que demanen un rescat.

Va advertir que augmentaria a 10.000 dòlars diaris després de quatre dies, i va afegir que no es duran a terme més negociacions.

Es creu que tenen els ciberdelinqüents va obtenir accés als servidors governamentals mitjançant un sistema informàtic vulnerable. Després van poder crear una porta posterior que permetés a la màquina infectada infectar altres persones connectades a la seva xarxa.

Els contractistes de ciberseguretat que treballaven en el projecte suposadament van descobrir una altra eina anomenada web shell que es podria haver utilitzat junt amb EternalBlue per “passar el hash” a través d’ordinadors de la xarxa. Es creu que això ha permès que el programari maliciós es propagui encara més mitjançant la utilització de credencials copiades per evitar els protocols de xarxa.

EternalBlue Àmpliament utilitzat pels pirates informàtics

L’explotació EternalBlue va ser desenvolupada per la NSA, però difosa en línia pels Shadow Brokers el 2017. Des de llavors, el codi original ha estat modificat per nombrosos actors maliciosos per penetrar en sistemes informàtics i instal·lar programari maliciós, miners de criptomoneda i ransomware..

Es va utilitzar especialment per dur a terme el famós atac de ransomware de WannaCry que va infectar PC a tot el món el 2017, pocs mesos després de la filtració. Va funcionar xifrant fitxers en ordinadors personals i després exigint que es pagués un rescat en criptografia. Més de 150.000 ordinadors es van infectar a més de 100 països.

Microsoft va llançar ràpidament un pedaç dissenyat per frustrar l’atac, però encara hi ha milions d’ordinadors vulnerables a causa de l’ús generalitzat de programari Windows falsificat, un error en instal·lar el pedaç o les darreres actualitzacions de seguretat de Microsoft. Els investigadors creuen que el fracàs en la instal·lació d’actualitzacions de seguretat contra l’explotació és el que va provocar l’èxit de l’atac de Baltimore.

EternalBlue preferit pels grups de hackers de mineria criptogràfica

EternalBlue va tornar a estar al punt de mira al gener després que els investigadors en descobrissin l’ús en una sofisticada campanya de criptojacking que s’orientava especialment als ordinadors i servidors de la Xina..

L’equip de seguretat de Qihoo 360 s’acredita per ser el primer a descobrir la infecció. Sembla que la campanya es basava en EternalBlue juntament amb alguns temibles scripts PowerShell per descarregar càrregues útils de malware en màquines infectades i criptomonedes mineres com Monero.

Més recentment, Symantec va descobrir una important campanya de criptojacking que implicava l’explotació EternalBlue, dirigida especialment a les empreses de la Xina. Es basava en un minador de criptografia basat en fitxers. Aparentment, la infecció inicial de les màquines es va dur a terme mitjançant correus electrònics de pesca.

Es creu que el recent augment del mercat de les criptomonedes està impulsant un ressorgiment dels atacs de malware de criptojacking. Informes de Symantec que les infeccions de criptojacking van caure al voltant del 50 per cent el 2018 després que el mercat de criptografia va passar a un mode baixista.

L’informe subratlla que, tot i que els atacs de ransomware han disminuït i han baixat aproximadament un 20%, les campanyes dirigides a empreses han augmentat un 12% aproximadament..

(Crèdit de la imatge destacada: Pixabay)

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me