Cidades dos estados do sul foram prejudicadas pelo ransomware nas últimas semanas. Em muitos casos, os líderes da cidade não tiveram escolha senão ceder às demandas dos agressores.
Neste artigo, veremos como esses ataques funcionam e os danos que causaram aos municípios locais.
Ataque de ransomware em Riviera Beach
Em maio de 2019, os sistemas de computador de Riviera Beach, na Flórida, pararam depois que um funcionário do departamento de polícia abriu um anexo de email infectado. O ransomware desativou os sistemas de e-mail e telefone da cidade e desativou os serviços de pagamento de serviços públicos.
Eventualmente, a cidade cedeu às demandas dos hackers e votou em pagar aos criminosos quase US $ 600.000 para recuperar o acesso aos seus dados. Embora não possamos dizer ao certo qual ransomware foi o culpado por esse ataque, os especialistas acreditam que é provável que tenha sido o Ryuk, uma variedade de ransomware que foi vista pela primeira vez em agosto de 2018.
Ataque de ransomware em Lake City
Algumas semanas depois, outra cidade da Flórida se viu em uma situação semelhante. Em 10 de junho, um funcionário do governo de Lake City abriu involuntariamente um email malicioso, resultando em uma interrupção generalizada nas comunicações governamentais e nos serviços de pagamento online. Mais uma vez, os líderes da cidade concordaram em pagar o resgate aos hackers – desta vez, US $ 460.000.
Ataque de ransomware de Key Biscayne
Logo após o incidente em Lake City, outra cidade da Flórida, Key Biscayne, foi atingida por um ataque cibernético. As autoridades disseram que seus sistemas voltariam a funcionar dentro de alguns dias, mas não quiseram comentar se um pagamento de resgate estava envolvido.
Ataque de ransomware Collierville
Em 18 de julho, a cidade de Collierville, Tennessee, foi atingida por Ryuk. O ransomware afetou principalmente os funcionários da cidade, com muitos serviços da cidade sendo forçados a recorrer a sistemas off-line por vários dias. Seguindo as recomendações do FBI, a cidade não se comunicou ou negociou com os hackers. Um porta-voz disse que pode levar semanas para que os sistemas voltem ao normal.
Louisiana ransomware ataque
No final de julho, o ransomware derrubou as redes de TI em três distritos escolares da Louisiana – Sabine, Morehouse e Ouachita. Em resposta, o governador da Louisiana, John Bel Edwards, declarou estado de emergência , o que significa que recursos estatais serão disponibilizados para ajudar a resolver a crise e reduzir o risco de mais perda de dados.
Ataque de ransomware do Departamento de Segurança Pública da Geórgia
Em 26 de julho, uma infecção por ransomware no Departamento de Segurança Pública da Geórgia (DPS) afetou vários departamentos de polícia, incluindo patrulha estadual, polícia de capitólio e Divisão de Conformidade de Transportadoras a Motor da Geórgia. A infecção fez com que os laptops dos carros da polícia perdessem a conectividade com os servidores DPS, deixando os policiais incapazes de acessar informações cruciais. Os policiais recorreram ao uso de canais de comunicação mais antigos enquanto os sistemas estão sendo restaurados.
Segundo David Allen, diretor de segurança da informação da DPS, o pagamento não é uma opção.
“Não faz parte da nossa política pagar resgate”, diz Allen, conforme citado pela GovTech . “Com toda a honestidade, eu nem sequer olho para os arquivos que eles deixam para trás sobre como entrar em contato com eles. Não concordo que seja mais econômico pagar [resgate] porque, mesmo que você pague e descriptografe parte do seu sistema, isso nem sempre acontece de forma limpa. ”
Ataques de ransomware no Texas
É muito raro os grupos de ransomware atacarem vários municípios simultaneamente, mas foi exatamente o que aconteceu em meados de agosto, quando os cibercriminosos lançaram uma campanha coordenada no Texas.
Vinte e duas cidades do Texas foram afetadas no ataque, incluindo Borger e Keene; as entidades restantes ainda não foram nomeadas. Algumas fontes informaram que mais uma vez o Ryuk foi usado nos ataques, enquanto outras sugeriram que era uma variedade de ransomware conhecida como Sodinokibi.
Como as cidades são infectadas com ransomware?
Os métodos de infecção por ransomware podem variar entre famílias e campanhas. Acredita-se que uma cepa de ransomware conhecida como Ryuk esteja por trás de muitos dos recentes ataques no sul.
A análise revelou que o Ryuk foi usado em combinação com outros tipos de malware para criar o que alguns estão descrevendo como uma ameaça tripla , um ataque sofisticado que adota uma abordagem tripla para infecção e execução.
Aqui está uma rápida visão geral de como pode ser uma campanha típica.
1. Emotet
Primeiro, os cibercriminosos distribuem email de spam para grandes empresas. Quando o anexo de email malicioso é aberto por um funcionário desavisado, ele usa o PowerShell para instalar o Emotet . O Emotet é tradicionalmente usado para roubar credenciais bancárias, mas sua arquitetura modular significa que também pode ser usado como um conta-gotas, um tipo de malware que ajuda a instalar outros malwares.
Emotet ressurgiu recentemente depois de ficar inativo desde o início de junho. Especialistas acreditam que os operadores provavelmente estavam realizando manutenção nos servidores durante esse período.
2. TrickBot
Em seguida, o Emotet baixa e executa o Trojan TrickBot a partir de um host malicioso remoto pré-configurado. Semelhante ao Emotet, o TrickBot é um trojan modular que geralmente é usado para roubar credenciais bancárias, mas também é capaz de executar outras tarefas, como baixar / instalar outro malware. Nesse caso, é usado para implantar o Ryuk
O TrickBot geralmente se espalha explorando a vulnerabilidade EternalBlue, que foi originalmente desenvolvida pela Agência de Segurança Nacional dos EUA e desde então tem sido usada em muitos ataques importantes de ransomware, incluindo WannaCry e Petya . Os ataques da Flórida, no entanto, foram causados por erro do usuário e não envolveram a exploração do EternalBlue.
3.Ryuk
Depois que o TrickBot se estabelece e os invasores verificam que a máquina infectada é um alvo atraente, ele implementa o ransomware Ryuk. Depois que o Ryuk infectou a máquina, ele começa a criptografar arquivos.
Quem paga pelo resgate?
Enquanto algumas entidades públicas têm políticas rígidas de não pagamento, outras consideram o pagamento aos hackers como uma opção de último recurso. Em alguns casos, as organizações não possuem uma estratégia de recuperação robusta, o que significa que a restauração do sistema é impossível ou consome muito tempo. Em outras situações, pagar o resgate pode ser simplesmente mais econômico do que o custo do tempo de inatividade do sistema.
No ataque de Riviera Beach, a maior parte do pagamento do resgate foi coberta pela apólice de seguro cibernético da cidade, o que significava que a cidade “apenas” tinha que pagar uma dedução de US $ 25.000. Era uma história semelhante em Lake City, onde o resgate foi pago por seguro depois que a cidade pagou uma franquia de US $ 10.000. Infelizmente, é provável que os contribuintes absorvam os custos das franquias quando chegar a hora das cidades renovarem suas apólices de seguro.
Os pesquisadores da Emsisoft conseguiram descriptografar com sucesso o Ryuk em cerca de 3-5% dos casos.
Por que os estados do sul estão sendo fortemente direcionados?
Os estados do sul viram mais do que seu quinhão de ataques de ransomware nas últimas semanas. A principal força que impulsiona essa tendência é o fato de que os cibercriminosos sabem que alguns municípios dos estados do sul estão dispostos a pagar o resgate.
Como qualquer outro negócio, as empresas criminosas adotam estratégias que comprovadamente funcionam. Os grandes pagamentos feitos por Riviera Beach e Lake City podem estar incentivando ataques semelhantes a outros municípios da região.
No entanto, é importante lembrar que os ataques de ransomware não estão confinados a nenhuma região específica. Toda organização, independentemente de sua localização, tamanho ou renda, deve se considerar um potencial alvo de ransomware.
Esses municípios do sul são as vítimas mais recentes de uma longa série de ataques de ransomware contra entidades públicas locais dos EUA. Confira esta postagem no blog para obter mais informações sobre essa tendência.
Traduzido do Laboratório de Segurança EMSISOFT
Deseja saber mais sobre Segurança Clique Aqui!