Como o extorcionista de criptografia liberou a passagem ferroviária de São Francisco

Outro dia, os passageiros da ferrovia de bitola estreita de São Francisco tiveram a oportunidade de ver a inscrição “Você está hackeado, TODOS os dados são criptografados” nas telas de todos os terminais de pagamento da empresa de transporte da Agência de Transportes Municipais de São Francisco ( SFMTA ). Algum tempo depois, a gerência confirmou o hack, dizendo que o SFMTA está investigando ativamente o incidente.

“Atualmente, estamos trabalhando em uma solução para esse problema. Uma investigação está em andamento e ainda não podemos fornecer detalhes adicionais ”, afirmou o porta - voz.SFMTA. Como se viu, a inscrição nas telas é exibida por software malicioso - crypto-ransomware. Como resultado, não apenas os terminais de pagamento foram bloqueados, mas também a maior parte da infraestrutura de computadores da empresa. Por esse motivo, é impossível pagar a tarifa e os passageiros foram autorizados a viajar de graça durante a solução da situação.

No domingo, os funcionários tiveram que se lembrar da experiência de planejar rotas usando papel, caneta e conversas telefônicas dos controladores das estações. Normalmente, o planejamento de rotas é realizado usando tecnologia de computador, com distribuição automática de guias de transporte em formato eletrônico para treinar motoristas. Agora, a programação está suspensa nas estações na forma de planos em papel.

A responsabilidade pelo ciberataque foi reivindicada por alguém Andy Saolis. O cibercriminoso chegou a responder a algumas perguntas de jornalistas. O atacante disse que ele e seu grupo estavam por trás do ataque cibernético à empresa de transporte. Além disso, ele disse que o ataque foi realizado apenas por uma questão de dinheiro e nada mais. "Espero que isso ajude a empresa a melhorar a segurança de sua infraestrutura de TI antes de voltarmos", escreveu Saolis.

Segundo o atacante, o ataque não foi direcionado exclusivamente à rede de computadores dessa empresa. Um arquivo infectado foi localizado em um dos rastreadores de torrent, que foi carregado por um dos funcionários da estação. Depois de inicializar o arquivo, o malware foi iniciado e infectou toda a rede.

"A estação acabou sendo um elo fraco", disse o atacante. Ele também acrescentou que, para desbloquear os sistemas de computadores da estação, é necessário um pagamento de 100 bitcoins (US $ 73.000 à taxa de câmbio). Até o momento, segundo os autores do ataque, os representantes da empresa não os contataram. "Talvez eles queiram uma lição difícil", escreveu Saolis.

Ao mesmo tempo, a equipe da estação conseguiu retomar a operação de alguns sistemas. A empresa emprega cerca de 6.000 pessoas e todos os dados estão em risco, pois todas as informações sobre os funcionários são armazenadas em um banco de dados comum do sistema infectado.

Segundo representantes da empresa, que foram afetados pelos atacantes, eles conseguiram proteger a maioria dos dados contra infecções, para que as informações críticas para o trabalho não estivessem sob ataque. Mas os computadores operacionais são bloqueados por um ransomware criptográfico, portanto, os processos de trabalho precisam ser executados da maneira antiga.

De qualquer forma, a empresa não tem muito tempo restante para expirar o prazo alocado pelo pagamento do malware e, portanto, os dados nos sistemas afetados pelo ataque não podem ser restaurados.

Apesar de sua prevalência, é difícil lidar com esse tipo de software. O problema é que a chave de criptografia que criptografa os arquivos do usuário é enviada aos servidores dos invasores. Sem ele, na maioria dos casos, não é possível obter seus dados. Nem sempre os especialistas em segurança da informação conseguem encontrar um "antídoto" para o próximo ransomware. Como resultado, indivíduos e organizações precisam pagar aos criadores de software malicioso. Isso aconteceu, por exemplo, com uma escola americana da Carolina do Sul, EUA. A administração da escola teve que pagar US $ 8500 aos desenvolvedores do vírus de criptografia.

Os hackers são divididos entre aqueles que honestamente enviam a chave à vítima para descriptografar os dados codificados e aqueles que não enviam nada. Além disso, há casos em que o ransomware imaginário não criptografa nada, mas simplesmente exclui os arquivos. Mas, ao mesmo tempo, esse software exige dinheiro da vítima para a restauração de dados que não podem ser restaurados. O Ranscam é um malware que apenas finge ser um ransomware criptográfico. O software finge que os arquivos estão criptografados, embora na verdade tudo o que o usuário vê na tela seja uma linha de comando com uma lista de arquivos excluídos. Depois que os arquivos são excluídos, o programa exibe uma janela pop-up solicitando que você pague dinheiro para obter a chave de criptografia.



O ransomware Crypto se espalha de várias maneiras - da distribuição de e-mail aos sites de empresas conhecidas. Por exemplo, o site de um fabricante de brinquedos popular começou a infectar seus visitantes com ransomware na primavera . Como se viu, o site foi invadido e os atacantes fizeram o upload de seu próprio software no servidor, incorporando-o ao Joomla CMS, no qual o recurso funciona. Em abril, um ataque semelhante foi realizado em sites com o servidor Web IIS da Microsoft. Somente então o ransomware criptográfico CryptoWall ou TeslaCrypt foi usado.

Source: https://habr.com/ru/post/pt399623/