Yhdysvaltain kansallinen turvallisuusvirasto (NSA) on kiistänyt, että verkkorikolliset käyttivät mitään sen hakkerointityökaluista Baltimoren hallitusjärjestelmiin kohdistetun hyökkäyksen levittämiseksi.

Hyökkäys on lamauttanut kaupunkipalvelut useita viikkoja, kun virkamiehet miettivät seuraavaa siirtoa. Edustaja C.A: n julkaiseman lausunnon mukaan Hänen kanssaan puhuneet hollantilaiset Ruppersberger, NSA: n virkamiehet ovat kiistäneet, että viraston kehittämiä työkaluja olisi käytetty kaappaamaan tai häiritsemään valtion elintärkeitä tietokonejärjestelmiä.

Pormestari Bernard Youngin lausunnon mukaan kaupunki ei halua maksaa tekijöiden vaatimaa lunnaita, jotka ovat 3 bitcoinia tartunnan saanutta järjestelmää kohti. Hallituksen virkamiehet myöntävät, että saattaa kulua kuukausia ennen kuin kaikki laiturit palautetaan

Vaikka suurin osa kaupungin järjestelmistä suljettiin haittaohjelmahyökkäyksen takia, kriittiset järjestelmät, kuten 911 ja 311, eivät vaikuttaneet ja ovat edelleen päällä. Wall Street Journal raportoi että noin 10 000 valtion tietokonetta oli saanut tartunnan ja monet ovat edelleen lukittuina.

Tällä hetkellä kotimyynnin käsittely on viivästynyt, koska kyseisiä järjestelmiä ei voida käyttää paljastamaan kiinteistöjen myyjiä koskevia yksityiskohtia, kuten maksamattomia pantteja. Tällaiset tiedot on luovutettava vakuutuksenantajille, mutta niihin ei tällä hetkellä pääse. Tämä on vaikuttanut myös vesilaskutusjärjestelmiin, joten asiakkaat eivät saa laskuja jonkin aikaa. Viivästyminen aiheuttaa todennäköisesti maksujen piikin, kun tilanne ratkaistaan.

Seuraava on ote pormestarin virallinen lausunto antaa yleiskuvan nykytilanteesta.

“En pysty toimittamaan sinulle tarkkaa aikajanaa siitä, milloin kaikki järjestelmät palautetaan. Kuten kaikilla suuryrityksillä, meillä on tuhansia järjestelmiä ja sovelluksia.

Painopisteenämme on saada kriittiset palvelut takaisin verkkoon ja tehdä se tavalla, joka varmistaa, että pidämme turvallisuutta yhtenä tärkeimmistä prioriteeteistamme koko prosessin ajan. Saatat nähdä, että osittaiset palvelut alkavat palautua muutamassa viikossa, kun taas joissakin monimutkaisemmissa järjestelmissämme voi kestää kuukausia palautusprosessissa. “

Google poisti Baltimoren Gmail-tilit käytöstä

Hyökkäyksen jälkeen Baltimoren valtion henkilöstön työntekijät ilmeisesti yrittivät perustaa väliaikaisia ​​Gmail-tilejä ongelmanratkaisuna tartunnan saaneiden järjestelmien deaktivoinnin jälkeen. Baltimore Sunin mukaan, monet heistä olivat vammaisia.

Alun perin oli epäselvää, miksi näin tapahtui, mutta Googlen edustaja Brooks Hocog kertoi, että Gmail-tilien laajamittainen luominen lokalisoidulla maantieteellisellä alueella laukaisi yrityksen turvajärjestelmän, joka poisti valtaosan heistä. Monien on palautettu palautetun hetken kuluttua julkaistusta lausunnosta.

Kuinka infektio tapahtui

Hakkerit pystyivät tartuttamaan tuhansia tietokonejärjestelmiä hyvin lyhyessä ajassa käyttämällä väitetysti vuotanutta NSA-hakkerointityökalua EternalBlue. 7. toukokuuta kaupungin hallituksen työntekijät heräsivät löytääkseen lunnasohjelman salaamat kriittiset tiedostojärjestelmät.

Verkkorikolliset vaativat maksua bitcoinilla. Vaikka järjestelmät vietiin välittömästi offline-tilaan ja FBI kutsui tutkimaan, kaupungin hallinnon puhepostijärjestelmä ja pysäköintimaksutietokanta oli salattu. Kyberturvallisuusyritys Armor jakoi muokatun kuvan muistiinpanosta, jonka hakkereita, jotka vaativat lunnaita.

Se varoitti, että se nousee 10000 dollariin päivässä neljän päivän kuluttua, ja lisäsi, että muita neuvotteluja ei tule käymään.

Verkkorikollisten uskotaan olevan sai pääsyn valtion palvelimiin haavoittuvan tietokonejärjestelmän kautta. Sitten he pystyivät luomaan takaoven, joka mahdollisti tartunnan saaneen koneen tartuttaa muut sen verkkoon liitetyt.

Projektin parissa työskentelevät kyberturvallisuusurakoitsijat väittivät löytäneen toisen työkalun, nimeltään web-kuori, jota olisi voitu käyttää yhdessä EternalBlue-ohjelman kanssa “läpäisemään hashia” verkon tietokoneiden yli. Tämän uskotaan mahdollistaneen haittaohjelmien leviämisen edelleen käyttämällä kopioituja tunnistetietoja verkkoprotokollien ohittamiseksi.

Salaushakkerit käyttävät laajasti EternalBlue-ohjelmaa

NSA on kehittänyt EternalBlue-hyväksikäytön, mutta Shadow Brokers vuodatti sen verkossa vuonna 2017. Alkuperäistä koodia on sittemmin muokannut monet haitalliset toimijat tunkeutumaan tietokonejärjestelmiin ja asentamaan haittaohjelmia, kryptovaluutta kaivostyöläisiä ja lunnasohjelmia.

Sitä käytettiin erityisesti surullisen WannaCry-ransomware-hyökkäyksen toteuttamiseen, joka tarttui tietokoneisiin maailmanlaajuisesti vuonna 2017 vain muutama kuukausi vuodon jälkeen. Se toimi salaamalla tiedostot henkilökohtaisilla tietokoneilla ja vaatimalla sitten lunnaita maksettavaksi salauksena. Yli 150 000 tietokonetta oli saanut tartunnan yli 100 maassa.

Microsoft julkaisi nopeasti korjauksen, joka on suunniteltu estämään hyökkäys, mutta siellä on edelleen miljoonia tietokoneita, jotka ovat haavoittuvia väärennettyjen Windows-ohjelmistojen laajan käytön, korjaustiedoston asentamisen epäonnistumisen tai uusimpien Microsoftin tietoturvapäivitysten vuoksi. Tutkijat uskovat, että epäonnistuminen tietoturvapäivitysten asentamisessa hyödyntämistä vastaan ​​johti Baltimore-hyökkäyksen menestykseen.

Crypto Mining Hacker -ryhmien suosima EternalBlue

EternalBlue tuli jälleen parrasvaloihin tammikuussa, kun tutkijat paljastivat sen käytön hienostuneessa kryptojacking-kampanjassa, joka kohdistui erityisesti tietokoneisiin ja palvelimiin Kiinassa.

Qihoo 360 -tiimitiimi hyvitetään ensimmäiseksi tartunnan havaitsemiseksi. Kampanja luotti ilmeisesti EternalBlueen ja eräisiin valtaviin PowerShell-skripteihin haittaohjelmien hyötykuormien lataamiseksi tartunnan saaneille koneille ja minun salausvaluutoille, kuten Monero.

Viime aikoina Symantec paljasti suuren kryptojacking-kampanjan, johon osallistui EternalBlue-hyödyntäminen ja joka kohdistettiin erityisesti Kiinan yrityksiin. Se luotti tiedostopohjaiseen salauskaivuriin. Koneiden ensimmäinen tartunta tehtiin ilmeisesti tietojenkalastelusähköpostien kautta.

Kryptovaluuttamarkkinoiden viimeaikaisen nousun uskotaan lisäävän salakirjoittavien haittaohjelmien hyökkäyksiä. Symantec raportoi että kryptojacking-infektiot laskivat noin 50 prosenttia vuonna 2018 sen jälkeen, kun kryptomarkkinat siirtyivät laskutilaan.

Raportissa korostetaan, että vaikka ransomware-hyökkäykset ovat olleet laskussa ja nyt laskeneet noin 20 prosenttia, yrityksiin kohdistetut kampanjat ovat lisääntyneet noin 12 prosenttia.

(Esitelty kuvaluotto: Pixabay)

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me