Boeing, das 911-System von Baltimore, tritt Atlanta bei Woche der Krypto-Malware-Ausbrüche

Ransomware hat das 911-System von Baltimore am 24. und 25. März offline geschaltet, als die IT-Abteilung der Stadt daran arbeitete, das computergestützte Versandnetzwerk zu isolieren und wiederherzustellen.Enlarge / Ransomware hat das 911-System von Baltimore im März offline geschaltet 24 und 25 als die IT-Abteilung der Stadt arbeitete, um zu isolieren und wiederherzustellen das computergestützte Versandnetz. Kim Hairston / Baltimore Sun / TNS über Getty Images

Letzten Freitag wurde die Stadt Atlanta von einer Lösegeldsoftware heimgesucht Angriff, der einen Großteil der internen und externen Dienste der Stadt in Anspruch nahm offline. Bis heute wurden viele dieser Dienste restauriert, Zwei öffentliche Portale bleiben jedoch offline Ein automatisiertes Versandnetz für das 911-System von Baltimore war ebenfalls vorhanden offline geschaltet durch einen offensichtlichen Ransomware-Angriff. Und gestern Das Boeing-Werk in Charleston – in dem Komponenten für hergestellt werden Boeing 777 und andere Verkehrsflugzeuge sowie für die Luftwaffe KC-46-Tanker – wurde von dem, was ursprünglich gemeldet wurde, getroffen WannaCry-Malware.

Zwar ist an dieser Stelle nicht klar, ob diese Angriffe zusammenhängen in irgendeiner Weise die Verwundbarkeit von Unternehmen und Regierung Behörden – insbesondere Kommunalverwaltungen – gegen diese Art von Angriffen wurde in den letzten Jahren kontinuierlich demonstriert. Sogar als Organisationen sind umgezogen, um mit den Schwachstellen umzugehen, die es gab in den ersten Wellen von Ransomware und Ransomware-Lookalike ausgenutzt Angriffe haben die Angreifer ihre Taktik geändert, um neue Wege zu finden in Netzwerke, die sogar flüchtige Verteidigungslücken ausnutzen, um a destruktiver Halt.

Notfallwochenende in Baltimore

Im Fall des Baltimore 911-Systems die Art der Ransomware Angriff ist noch nicht klar, aber die Top-Informationssysteme der Stadt Beamte bestätigten, dass Baltimores computergestützter Versand (CAD) Das System wurde von Ransomware offline geschaltet. In einer Mitteilung per E-Mail an Ars Technica, Baltimore Chief Information Officer und Chief Digital Officer Frank Johnson sagte, dass das CAD-Netzwerk geschlossen wurde das Wochenende “wegen” Ransomware “-Täter” und dass die Stadt ist Das IT-Team konnte “den Bruch mit dem CAD-Netzwerk selbst eingrenzen”. Systeme, die an das CAD-Netzwerk angeschlossen sind, einschließlich Systeme an der Baltimore City Police Department, wurden offline geschaltet, um das zu verhindern Verbreitung der Ransomware.

“Nachdem alle Systeme ordnungsgemäß überprüft worden waren, wurde CAD zurückgebracht online “, sagte Johnson.” Keine persönlichen Daten eines Bürgers waren in diesem Angriff gefährdet. Die Stadt arbeitet weiterhin mit ihrer Bundespartner, um die Quelle des Eingriffs zu bestimmen. ”

Während die genaue Art der Ransomware in Baltimore Angriff hat nicht enthüllt wurde, wurde der Eintrittspunkt zumindest teilweise identifiziert. Johnson sagte, dass die Baltimore City Information Technologiebüro hatte festgestellt, “dass die Schwachstelle die war Ergebnis einer internen Änderung an der Firewall durch einen Techniker, der Behebung eines nicht damit zusammenhängenden Kommunikationsproblems innerhalb des CAD System.”

Der Firewallwechsel war anscheinend erst vier Stunden alt die Angreifer haben es ausgenutzt. Die Lücke wurde wahrscheinlich durch die identifiziert Angreifer durch einen automatisierten Scan. Aber eine Stadt in Baltimore Sprecher sagte, dass keine weiteren Details geteilt werden konnten, während das Untersuchung war im Gange.

Atlanta-Woche der Erpressersoftware

In Atlanta Fall wurde die Art des Zugangs nicht offenbart, aber die Art des Angriffs wurde identifiziert: die Ransomware-Nachricht Entspricht der von Samsam, einer im Jahr 2015 erstmals entdeckten Schadsoftware. Die Angreifer hinter der Ransomware verlangten 51.000 Dollar Bitcoin, um die Verschlüsselungsschlüssel für alle Betroffenen bereitzustellen systeme.

Laut Atlanta Beamten, Atlanta Information Management (AIM) zum ersten Mal auf den Angriff aufmerksam geworden 05.40 Uhr, die verschiedene interne und Kunden gegenüber betroffen Anwendungen, die verwendet werden, um Rechnungen zu bezahlen oder auf gerichtliche Angelegenheiten zuzugreifen Information.”

Das Rechnungszahlungssystem, das Capricorn verwendet – ein Java-basiertes System Self-Service-Portal von SilverBlaze aus Ontario – bleibt offline. Das Straf- und Kartenzahlungssystem des Gerichts ist teilweise gesichert, aber ein Windows Internet Information Server-basiertes System Der Zugriff auf die Fallinformationen ist noch nicht möglich. Einige interne Systeme wurden restauriert, laut einer Erklärung des Bürgermeisters von Atlantas Büro für Kommunikation.

Analyse der Systeme der Stadt Atlanta und früherer Angriffe Vektoren für Samsam schlagen zwei mögliche Eintrittspunkte vor, beide im Zusammenhang mit den öffentlich zugänglichen Systemen, die derzeit sind offline. Samsam greift 2016 und Anfang 2017 an, so zum Beispiel das eine an Das Union Memorial Hospital in Baltimore nutzte Sicherheitslücken in Open Source Java-Plattformen. Aber nach einem Bericht von Dell Secureworks, neuere Angriffe, haben sich zu Brute-Force gewandelt Kennwortangriffe, um über das Remotedesktopprotokoll Zugriff auf a zu erhalten Server, dann Ausführung von PowerShell-Skripten, die installiert werden Passwort-Harvesting-Tools und die Ransomware selbst.

Basierend auf Daten von Shodan, dem Steinbock-Portal zum Bezahlen Atlanta Wasserrechnungen verwendet Apache Tomcat und eines der Gerichte Informationssysteme hatten einen offenen RDP-Port sowie eine Servermeldung Blockieren (SMB) von Netzwerken, die im öffentlichen Internet sichtbar sind. Atlantahat einen Großteil der übrigen Gerichtssysteme der Stadt eingezogen Microsofts Azure Cloud.

Während eine Person behauptet, etwas über das Atlanta zu wissen Ransomware-Angriff glaubte, der Capricorn-Server sei beteiligt, Dan Mair, der Gründungspartner von SilverBlaze, bestritt nachdrücklich, dass die Die Software des Unternehmens wurde bei dem Angriff in Atlanta kompromittiert einfach: “Respektvoll, Ihre Informationen sind falsch.”

Nach einem Bild mit der Webadresse der Lösegeldseite für Die Infektion mit Atlanta Samsam ist durchgesickert, wie Steve Ragan von CSO berichtete. Die Seite wurde von den Angreifern geschlossen.

Boeing da

Der Fall bei Boeing ist weitaus unklarer und wird es höchstwahrscheinlich sein so bleiben. Nach einer Aussage von Boeing Vizepräsidentin für Kommunikation bei Verkehrsflugzeugen Linda Mills, Das Cybersecurity Operations Center von Boeing hat eine begrenzte Anzahl von Sicherheitslücken entdeckt Eindringen von Malware, die eine kleine Anzahl von Systemen betroffen hat. ” Mills sagte, dass “Abhilfemaßnahmen angewendet wurden; dies ist keine Produktions- und Lieferproblem “- das heißt, die Herstellung war es nicht deutlich unterbrochen. Mills teilte der Seattle Times mit, dass die Vorfall “war auf wenige Maschinen beschränkt. Wir setzten Software ein Flecken. Es gab keine Unterbrechung des 777-Jet-Programms oder eines der folgenden unsere Programme. ”

So sahen die internen E-Mails der Seattle Times nicht Dominic Gates charakterisierte die Episode zunächst. Eine Nachricht von Boeing-Chefingenieur für die Produktion von Verkehrsflugzeugen Mike VanderWel warnte davor, dass die Malware “schnell aus dem Norden metastasiert” Charleston und ich haben gerade 777 gehört. kann untergegangen sein. “Aber diese Bedenken schienen gewesen zu sein überblasen.

Es ist unwahrscheinlich, dass es sich bei der betroffenen Malware um die ursprüngliche WannaCry handelt. die Computer weltweit im vergangenen Mai getroffen. WannaCry – was die USA Regierung vor kurzem offiziell erklärt wurde von North ins Leben gerufen Korea – Eternalblue, ein von der NSA entwickelter Exploit von Microsoft Windows SMB- und NetBIOS over TCP / IP-Protokolle (NBT) zur Identifizierung neue Ziele und verteilt sich über Netzwerke. Es kann jedoch haben war eine neue Version mit dem gleichen Exploit. Alternativ könnte es sein Das war ein System, das zuvor von WannaCry infiziert worden war wurde in einem Netzwerk neu gestartet, in dem der Domänensatz nicht erreicht werden konnte als “Kill Switch” der Malware und begann wieder zu verbreiten.

Was auch immer die Malware bei Boeing war, es scheint gewesen zu sein schnell erkannt und angehalten. Die größere Frage – wie es dazu kam Zunächst Boeings Werk in Charleston – wird wahrscheinlich nicht enthüllt irgendwann bald.

In der Zwischenzeit war der 911-Service in Denver nicht verfügbar über Nacht, zusammen mit 311 und anderen internetbasierten Diensten. Ars wird diese Geschichte aktualisieren, wenn diese Ausfälle waren Ransomware-bezogen.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: