كيف جعل المبتكر المبتكر سان فرانسيسكو مرور مجاني

في اليوم الآخر ، أتيحت الفرصة لركاب خط السكك الحديدية الضيق في سان فرانسيسكو لرؤية النقش "تم اختراقك ، جميع البيانات مشفرة" على شاشات جميع محطات الدفع التابعة لشركة النقل التابعة لوكالة النقل البلدي في سان فرانسيسكو ( SFMTA ). في وقت لاحق ، أكدت الإدارة الاختراق ، قائلة إن SFMTA تحقق بنشاط في الحادث.

"نحن نعمل حاليًا على حل لهذه المشكلة. وقال المتحدث إن التحقيق جار ولا يمكننا حتى الآن تقديم تفاصيل إضافية .SFMTA. كما اتضح ، يتم عرض النقش على الشاشات بواسطة برامج ضارة - crypto-ransomware. ونتيجة لذلك ، لم يتم إغلاق محطات الدفع فقط ، ولكن أيضًا معظم البنية التحتية للكمبيوتر للشركة. لهذا السبب ، من المستحيل دفع الأجرة ، وسمح للركاب بالسفر مجانًا أثناء تسوية الوضع.

يوم الأحد ، كان على الموظفين أن يتذكروا تجربة تخطيط الطريق باستخدام الورق والقلم والمحادثات الهاتفية لوحدات التحكم في المحطة. عادة ، يتم تنفيذ تخطيط الطريق باستخدام تكنولوجيا الكمبيوتر ، مع التوزيع التلقائي لفواتير الطريق في شكل إلكتروني لتدريب السائقين. الآن الجدول معلق في المحطات في شكل خطط ورقية.

المسؤولية عن الهجوم السيبراني ادعى شخص أندي Saolis. حتى أن المجرم الإلكتروني أجاب على سؤالين من الصحفيين. قال المهاجم إنه هو ومجموعته هم الذين كانوا وراء الهجوم السيبراني على شركة النقل. بالإضافة إلى ذلك ، قال إن الهجوم تم تنفيذه فقط من أجل المال ، وليس أكثر. كتب ساوليس: "آمل أن يساعد ذلك الشركة على تحسين أمان البنية التحتية لتكنولوجيا المعلومات قبل أن نعود مرة أخرى".

وبحسب المهاجم ، لم يكن الهجوم موجهاً حصرياً إلى شبكة الكمبيوتر الخاصة بهذه الشركة. تم العثور على ملف مصاب على أحد أجهزة تعقب سيل ، تم تحميله من قبل أحد موظفي المحطة. بعد تهيئة الملف ، بدأت البرامج الضارة وأصابت الشبكة بأكملها.

قال المهاجم "تبين أن المحطة كانت حلقة ضعيفة". وأضاف أيضًا أنه من أجل فتح أنظمة الكمبيوتر في المحطة ، يلزم دفع 100 بيتكوين (هذا هو 73000 دولار بسعر الصرف). حتى الآن ، بحسب مؤلفي الهجوم ، لم يتصل بهم ممثلو الشركة. كتب سولس: "ربما يريدون درسًا صعبًا".

في الوقت نفسه ، تمكن موظفو المحطة من استئناف تشغيل بعض الأنظمة. توظف الشركة حوالي 6000 شخص ، وبيانات الجميع في خطر ، حيث يتم تخزين جميع المعلومات حول الموظفين في قاعدة بيانات مشتركة للنظام المصاب.

وفقًا لممثلي الشركة ، التي تأثرت بالمهاجمين ، تمكنوا من حماية معظم البيانات من الإصابة ، بحيث لا تتعرض المعلومات المهمة للعمل للهجوم. ولكن يتم تشغيل أجهزة الكمبيوتر التي تعمل بنظام الفدية المشفرة ، لذلك يجب تنفيذ عمليات العمل بالطريقة القديمة.

على أي حال ، ليس لدى الشركة الكثير من الوقت قبل انتهاء المهلة المحددة من قبل البرامج الضارة للدفع ، ومن ثم لا يمكن استعادة البيانات على الأنظمة المتأثرة بالهجوم.

على الرغم من انتشاره ، إلا أن التعامل مع هذا النوع من البرامج أمر صعب. تكمن المشكلة في أن مفتاح التشفير الذي يقوم بتشفير ملفات المستخدم يتم إرساله إلى خوادم المهاجمين. بدونها ، في معظم الحالات لا يمكن الحصول على بياناتك. لا يتمكن أخصائيو أمن المعلومات دائمًا من العثور على "ترياق" لبرنامج الفدية التالي. ونتيجة لذلك ، يتعين على الأفراد والمنظمات دفع أموال لمنشئي البرامج الضارة. حدث هذا ، على سبيل المثال ، مع مدرسة أمريكية من ولاية كارولينا الجنوبية ، الولايات المتحدة الأمريكية. كان على إدارة المدرسة أن تدفع 8500 دولار لمطوري فيروس التشفير.

ينقسم المتسللون إلى أولئك الذين يرسلون بصدق مفتاح الضحية لفك تشفير البيانات المشفرة وأولئك الذين لا يرسلون أي شيء. علاوة على ذلك ، هناك حالات لا يقوم فيها برنامج الفدية الخيالي بتشفير أي شيء ، ولكنه ببساطة يحذف الملفات. ولكن في الوقت نفسه ، تتطلب هذه البرامج أموالًا من الضحية لاستعادة البيانات التي لا يمكن استعادتها. Ranscam هو برنامج ضار يتظاهر فقط بأنه برنامج فدية تشفير. يتظاهر البرنامج بأن الملفات مشفرة ، على الرغم من أن كل ما يراه المستخدم على الشاشة هو في الواقع سطر أوامر يحتوي على قائمة بالملفات المحذوفة. بمجرد حذف الملفات ، يعرض البرنامج نافذة منبثقة تطلب منك دفع المال للحصول على مفتاح التشفير.



ينتشر Crypto Ransomware بطرق متنوعة - من توزيع البريد الإلكتروني إلى مواقع الشركات المعروفة. على سبيل المثال ، بدأ موقع شركة تصنيع ألعاب شعبية في إصابة زوارها ببرامج الفدية في الربيع . كما اتضح ، تم اختراق الموقع ، وقام المهاجمون بتحميل برامجهم الخاصة إلى الخادم عن طريق تضمينها في Joomla CMS ، التي يعمل بها المورد. في أبريل ، تم تنفيذ هجوم مماثل على مواقع مع خادم ويب IIS الخاص بـ Microsoft. عندها فقط تم استخدام CryptoWall أو TeslaCrypt التشفير الفدية.

Source: https://habr.com/ru/post/ar399623/