Wie Crypto Extortionist die San Francisco Rail Passage frei machte

Neulich hatten Passagiere der Schmalspurbahn in San Francisco die Möglichkeit, auf den Bildschirmen aller Zahlungsterminals des Transportunternehmens der San Francisco Municipal Transportation Agency ( SFMTA ) die Aufschrift „Sie sind gehackt, ALLE Daten sind verschlüsselt“ zu sehen . Einige Zeit später bestätigte das Management den Hack und sagte, dass die SFMTA den Vorfall aktiv untersucht.

„Wir arbeiten derzeit an einer Lösung für dieses Problem. Eine Untersuchung ist im Gange, und wir können noch keine zusätzlichen Details liefern “, sagte der Sprecher.SFMTA. Wie sich herausstellte, wird die Inschrift auf den Bildschirmen von bösartiger Software angezeigt - Crypto-Ransomware. Infolgedessen wurden nicht nur Zahlungsterminals blockiert, sondern auch der größte Teil der Computerinfrastruktur des Unternehmens. Aus diesem Grund ist es unmöglich, den Fahrpreis zu bezahlen, und die Passagiere durften während der Beilegung der Situation kostenlos reisen.

Am Sonntag mussten sich die Mitarbeiter sogar an die Erfahrungen mit der Routenplanung mit Papier, Stift und Telefongesprächen von Stationsleitern erinnern. In der Regel erfolgt die Routenplanung mithilfe von Computertechnologie, wobei die Frachtbriefe automatisch in elektronischer Form an die Zugführer verteilt werden. Jetzt hängt der Zeitplan in Form von Papierplänen an den Stationen.

Die Verantwortung für den Cyberangriff wurde von Andy Saolis übernommen. Der Cyberkriminelle beantwortete sogar einige Fragen von Journalisten. Der Angreifer sagte, dass er und seine Gruppe hinter dem Cyberangriff auf das Transportunternehmen stecken. Außerdem sagte er, dass der Angriff nur aus Geldgründen und nicht mehr durchgeführt wurde. "Ich hoffe, dies hilft dem Unternehmen, die Sicherheit seiner IT-Infrastruktur zu verbessern, bevor wir wiederkommen", schrieb Saolis.

Nach Angaben des Angreifers richtete sich der Angriff nicht ausschließlich gegen das Computernetzwerk dieser Firma. Eine infizierte Datei befand sich auf einem der Torrent-Tracker, die von einem der Stationsmitarbeiter hochgeladen wurde. Nach der Initialisierung der Datei wurde die Malware gestartet und das gesamte Netzwerk infiziert.

"Die Station erwies sich als schwaches Glied", sagte der Angreifer. Er fügte hinzu, dass zum Entsperren der Computersysteme der Station eine Zahlung von 100 Bitcoins erforderlich ist (dies sind 73.000 USD zum Wechselkurs). Laut den Autoren des Angriffs haben Unternehmensvertreter sie bisher nicht kontaktiert. "Vielleicht wollen sie eine harte Lektion", schrieb Saolis.

Gleichzeitig konnte das Stationspersonal den Betrieb einiger Systeme wieder aufnehmen. Das Unternehmen beschäftigt rund 6.000 Mitarbeiter und die Daten aller sind gefährdet, da alle Informationen über Mitarbeiter in einer gemeinsamen Datenbank des infizierten Systems gespeichert sind.

Laut Vertretern des Unternehmens, das von den Angreifern betroffen war, gelang es ihnen, die meisten Daten vor Infektionen zu schützen, sodass für die Arbeit wichtige Informationen nicht angegriffen werden. Der Betrieb von Computern wird jedoch durch eine Krypto-Ransomware blockiert, sodass Arbeitsprozesse auf altmodische Weise ausgeführt werden müssen.

In jedem Fall hat das Unternehmen nicht mehr viel Zeit, bevor die von der Malware festgelegte Zahlungsfrist abläuft, und dann können Daten auf den vom Angriff betroffenen Systemen nicht wiederhergestellt werden.

Trotz seiner Verbreitung ist der Umgang mit dieser Art von Software schwierig. Das Problem ist, dass der Verschlüsselungsschlüssel, der die Dateien des Benutzers verschlüsselt, an die Server der Angreifer gesendet wird. Ohne sie ist es in den meisten Fällen nicht möglich, Ihre Daten abzurufen. Nicht immer finden Informationssicherheitsspezialisten ein „Gegenmittel“ für die nächste Ransomware. Infolgedessen müssen Einzelpersonen und Organisationen die Entwickler von schädlicher Software bezahlen. Dies geschah zum Beispiel mit einer amerikanischen Schule aus South Carolina, USA. Die Schulverwaltung musste 8500 US-Dollar an die Entwickler des Verschlüsselungsvirus zahlen.

Hacker sind unterteilt in diejenigen, die den Schlüssel ehrlich an das Opfer senden, um die verschlüsselten Daten zu entschlüsseln, und diejenigen, die nichts senden. Darüber hinaus gibt es Fälle, in denen die imaginäre Ransomware nichts verschlüsselt, sondern lediglich die Dateien löscht. Gleichzeitig benötigt eine solche Software vom Opfer Geld für die Wiederherstellung von Daten, die nicht wiederhergestellt werden können. Ranscam ist eine Malware, die nur vorgibt , eine Krypto-Ransomware zu sein. Die Software gibt vor, dass die Dateien verschlüsselt sind, obwohl der Benutzer lediglich eine Befehlszeile mit einer Liste gelöschter Dateien auf dem Bildschirm sieht. Sobald die Dateien gelöscht sind, zeigt das Programm ein Popup-Fenster an, in dem Sie aufgefordert werden, Geld zu zahlen, um den Verschlüsselungsschlüssel zu erhalten.



Crypto Ransomware verbreitet sich auf verschiedene Weise - von der E-Mail-Verteilung bis zu den Websites bekannter Unternehmen. Zum Beispiel begann die Website eines beliebten Spielzeugherstellers bereits im Frühjahr , seine Besucher mit Ransomware zu infizieren. Wie sich herausstellte, wurde die Site gehackt und die Angreifer haben ihre eigene Software auf den Server hochgeladen, indem sie sie in das Joomla CMS eingebettet haben, auf dem die Ressource funktioniert. Im April wurde ein ähnlicher Angriff auf Websites mit dem IIS-Webserver von Microsoft durchgeführt. Erst dann wurde CryptoWall oder TeslaCrypt kryptografische Ransomware verwendet.

Source: https://habr.com/ru/post/de399623/