Ransomware "RobbinHood" merosot rangkaian kerajaan bandar Baltimore

Sistem di beberapa jabatan kerajaan kota Baltimore diambil di luar talian pada 7 Mei oleh serangan ransomware. Pada jam 9:00 pagi hari ini, e-mel dan perkhidmatan lain kekal di luar talian. Sistem polis, kebakaran, dan tindak balas kecemasan tidak terjejas oleh serangan itu, tetapi hampir semua jabatan kerajaan bandar lain telah terjejas dalam beberapa cara.

Panggilan ke Pejabat Teknologi Maklumat di bandar sedang dijawab oleh rakaman yang menyatakan, "Kami menyedari bahawa sistem sedang turun. Kami sedang berusaha menyelesaikan isu ini secepat mungkin. "

Lester Davis, seorang jurucakap pejabat Datuk Bandar Baltimore, memberitahu Baltimore Sun, Ian Duncan bahawa serangan itu serupa dengan orang yang melanda Greenville, North Carolina, pada bulan April.

Ketua Pegawai Penerangan Baltimore, Frank Johnson mengesahkan dalam satu sidang akhbar hari ini bahawa malware itu adalah "ransomware RobbinHood yang sangat agresif" dan bahawa FBI telah mengenal pasti ia sebagai "variasi yang agak baru" dari malware itu. Varian baru RobbinHood muncul sejak sebulan lalu.

Penyelidik keselamatan, Vitali Kremez, yang baru-baru ini membangkitkan rekaan RobbinHood, memberitahu Ars bahawa malware itu muncul untuk menyasarkan hanya fail pada satu sistem dan tidak menyebarkan melalui rangkaian rangkaian. "Ia dipercayai tersebar terus ke mesin individu melalui psexec dan / atau kompromi pengawal domain," kata Kremez. "Penalaran di belakangnya adalah bahawa ransomware itu sendiri tidak mempunyai keupayaan penyebaran rangkaian dan dimaksudkan untuk digunakan untuk setiap mesin secara individu."

Ini bermakna bahawa penyerang perlu sudah mendapat akses peringkat pentadbiran ke sistem di rangkaian "kerana cara ransomware berinteraksi dengan direktori C: Windows Temp," jelas Kremez.

Di samping memerlukan pelaksanaan pada setiap mesin yang disasarkan secara individu, RobbinHood juga memerlukan kunci RSA awam yang ada pada komputer yang disasarkan untuk memulakan penyulitan fail. "Ini bermakna penyerang mungkin menggunakannya dalam pelbagai langkah, daripada mendapatkan akses ke rangkaian yang dipersoalkan, bergerak secara mendatar untuk mendapatkan keistimewaan pentadbiran untuk pengawal domain atau melalui psexec, menyebarkan dan menyimpan kunci RSA awam dan ransomware pada setiap mesin dan kemudian jalankan ia, "kata Kremez.

Sebelum memulakan penyulitan, perisian perampasan RobbinHood menutup semua sambungan ke direktori rangkaian kongsi dengan menggunakan * / DELETE / Y arahan dan kemudian menjalankan 181 perintah shutdown perkhidmatan Windows-termasuk melumpuhkan pelbagai alatan perlindungan malware, ejen sandaran, dan e-mel , pangkalan data, dan perkhidmatan pentadbiran Maklumat Server (IIS). Perintah itu-yang bermula dengan percubaan untuk menutup ejen AVP Kaspersky-akan mencipta banyak bunyi pada sebarang sistem pengurusan pemantauan log acara sistem Windows.

Lebih dari setahun yang lalu, sistem Baltimore 911 diserang oleh ransomware apabila penyelenggaraan di rangkaian bandar secara ringkas meninggalkan jurang dalam firewall. Perubahan firewall nampaknya hanya empat jam sebelum penyerang mengeksploitasinya-mungkin melalui imbasan automatik.

Johnson menegaskan bahawa peruntukan keselamatan maklumat bandar telah diaudit dan terkini. "Kami telah dinilai beberapa kali sejak saya berada di sini, dan kami mendapat pelbagai bil kesihatan yang bersih," katanya. "Kami mempunyai keupayaan yang sangat baik. Malangnya, ia adalah perlumbaan antara pelakon buruk dan industri keselamatan siber."

Dalam sidang akhbarnya, Datuk Bandar baru Baltimore, Bernard "Jack" Young, berkata tidak pasti berapa lama sistem bandar itu berada di luar talian. "Terdapat sistem sandaran dengan jabatan IT," katanya, "tetapi kita tidak boleh pergi dan memulihkan kerana kita tidak tahu sejauh mana virus itu pergi. Jadi saya tidak mahu orang berfikir bahawa Baltimore tidak 't mempunyai sandaran. "

Dalam pada itu, Young berkata, pekerja bandar perlu beralih untuk melakukan perkara secara manual. Jika pekerja-pekerja bandar tidak bersuara untuk masa yang banyak, Young berkata bahawa dia mungkin meminta mereka untuk "membantu membersihkan kota."

Tonton video itu: Ransomware As Fast As Possible (April 2020).