В начале мая шифровальщик RobbinHood, который относительно недавно появился на арене вымогательского ПО, заблокировал 10 тыс. персональных компьютеров в муниципалитете Балтимора. Как стало известно в последние дни, злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue.
Помимо рабочих станций сотрудников, зловред смог добраться до одной из систем контроля ЖКХ, вывел в оффлайн базу штрафов за парковку и местный реестр сделок с недвижимостью. Граждане в одночасье потеряли возможность оплачивать коммунальные счета, приобретать дома (заморожены оказались 1,5 тыс. сделок), отправлять администрации электронные письма. По счастью, служба 911 и другие экстренные системы остались незатронуты атакой.
Как выяснили СМИ, вымогатели потребовали выкуп в 13 BTC. По получении денег преступники пообещали удалить со своих серверов конфиденциальные данные, включая IP-адреса и ключи шифрования. «Нам очень важна ваша приватность», — говорится в сообщении злоумышленников.
По мнению экспертов ИБ, атака не имела направленный характер — операторы зловреда наткнулись на балтиморскую администрацию при сканировании Интернета. Текст требования о выкупе практически совпадает с другими подобными записками, которые были обнаружены после атак RobbinHood.
В отличие от многих других вымогателей, не распространяется по инфраструктуре по сетевым подключениям. Попав на компьютер, отключает более 180 сервисов и служб — антивирусы, базы данных, почтовые системы и прочие программы, которые могут помешать шифрованию. После этого блокирует сетевой доступ к машине.
Перед началом работы RobbinHood проверяет наличие публичного RSA-ключа в папке C:\Windows\Temp. При обнаружении начинает шифрование данных, создавая для каждого файла собственный AES-ключ. Этот ключ и оригинальное наименование файла далее шифруются публичным RSA-ключом, который добавляется к заблокированному файлу.
В первые дни после атаки ФБР запретило разглашать какую-либо информацию о расследовании — содержание записки попало в СМИ после утечки. О том, что преступники воспользовались знаменитым эксплойтом EternalBlue из арсенала Агентства национальной безопасности США, стало известно из недавней пресс-конференции мэра города Бернарда Янга (Bernard Young). На мероприятии он подтвердил, что власти не планируют платить выкуп, хотя финальное решение администрация пока не приняла. Информационные системы остаются заблокированными, IT-специалисты разработали новые оффлайн-средства для обеспечения ключевых процессов.
Это позволило журналистам поехидствовать о том, как американские граждане, уже давшие АНБ деньги на создание EternalBlue, теперь оплачивают и ликвидацию последствий. В самом деле, в последние годы уже несколько городов США пострадали от подобных атак. Причиной тому устаревшая IT-инфраструктура и недостаток квалифицированных специалистов в штате, способных вовремя установить поступающие патчи.
В результате город Аллентаун потерял в 2018 году миллион долларов и был вынужден искать еще сотни тысяч долларов на новые системы безопасности. В Атланте ущерб и вовсе приблизился к $20 млн, заставив общественность задуматься, не стоило ли заплатить преступникам требуемые $52 тыс. На уступки злоумышленникам пошли власти округа Джорджия, которые отправили вымогателям рекордные для США $400 тысяч.
Всего же за последние шесть лет аналитики насчитали почти 170 случаев вымогательских атак на американские города. Это далеко не полная цифра, т.к. в публичный доступ попадает малая толика подобных инцидентов. Как минимум в 70% администрация отказалась платить выкуп, в 17% — поддалась преступникам, исход остальных историй остается неизвестным.
Тем временем исследователи ESET говорят, что спустя два года после появления EternalBlue поиски уязвимых перед этим эксплойтом хостов только растут в объеме. Даже с учетом проверок, которые организуют сами ИБ-специалисты, эта активность говорит о продолжающемся развитии угрозы.
Комментарии (5)
niknamezanat
28.05.2019 14:39Мне вот интересно, почему страдают только американские города, или есть истории из других стран?
pomd Автор
28.05.2019 14:47в исследовании из последнего абзаца есть информация, что в США сейчас больше всего уязвимых перед EternalBlue компьютеров. Причём, намного больше:
Плюс, геополитический фактор. Например, атаки на Атланту, Джорджию и ещё пяток локаций организовала одна и та же парочка иранцев. Можно представить, что они питают к США особые чувства.
Если говорить про Россию, то у нас меньше ожидаемая платёжеспособность, плюс меньше хостов в принципе торчат в Интернет.niknamezanat
29.05.2019 07:47Я ожидал, что должны быть случаи и в других странах, но вы даёте ответ и на не высказанный вопрос о том, почему перекос в сторону США. Спасибо за развёрнутый ответ.
Касательно «геополитического фактора» и про этих двух иранцев, то не ясно — то ли они просто выходцы из Ирана, живущие в США и решившие срубить бабла, то ли глубоко законспированые агенты, то ли атаки были организованы ими с территории Ирана. «Фактор» всё же больше зависит от обстоятельств, а не только от этнической принадлежности.
mkovalevskyi
28.05.2019 18:07Ну, попробуйте заблокировать что-то в условных чебоксарах, и попросить там выкуп в размере 400К )))))
yearslater
Звучит как издевательство.
Я так понимаю, все данные им вернули, по причине того, что беспределом заниматься невыгодно для поддержки мнения, что «простое решение» выгодно.