Le système 911 de Baltimore, Boeing, rejoint Atlanta en semaine d’épidémies de crypto-malware

Ransomware a mis hors service le système 911 de Baltimore les 24 et 25 mars alors que le service informatique de la ville travaillait à l'isolement et à la restauration du réseau de dispatching assisté par ordinateur.Enlarge / Ransomware a mis le système 911 de Baltimore hors ligne en mars 24 et 25 alors que le service informatique de la ville s’efforçait d’isoler et de restaurer le réseau de répartition assisté par ordinateur.Kim Hairston / Baltimore Soleil / TNS via Getty Images

Vendredi dernier, la ville d’Atlanta a été frappée par un ransomware attaque qui a pris une grande partie des services internes et externes de la ville hors ligne. À ce jour, beaucoup de ces services ont été rétablis, mais deux portails publics restent hors ligne. Samedi, le réseau de répartition automatisé pour le système 911 de Baltimore a également été pris hors ligne par une attaque de ransomware apparente. Et hier, Boeing à Charleston, qui fabrique des composants pour Boeing’s 777 et autres avions commerciaux, et pour l’armée de l’air KC-46 pétrolier – a été frappé par ce qui aurait été initialement signalé WannaCry malware.

Bien qu’il ne soit pas clair à ce stade si ces attaques sont liées en aucune façon, la vulnérabilité des entreprises et du gouvernement agences – en particulier les gouvernements locaux – à ce genre d’attaques a été constamment démontré au cours des dernières années. Même que les organisations se sont déplacées pour faire face aux vulnérabilités qui étaient exploité dans les premières vagues de ransomware et de sosie similaire attaques, les attaquants ont modifié leur tactique pour trouver de nouvelles façons réseaux, exploitant même des lacunes fugitives en matière de défense pour obtenir un pied destructeur.

Week-end d’urgence 911 à Baltimore

Dans le cas du système Baltimore 911, le type de logiciel de ransomware L’attaque n’est pas encore claire, mais les meilleurs systèmes d’information de la ville fonctionnaire a confirmé que l’envoi informatisé de Baltimore (CAD) le système a été mis hors ligne par ransomware. Dans un communiqué envoyé à Ars Technica, Baltimore Dirigeant principal de l’information et chef de la division numérique L’agent Frank Johnson a déclaré que le réseau de CAO avait été fermé pendant le week-end “en raison des auteurs de ‘ransomware'” et que la ville L’équipe informatique a pu “isoler la faille dans le réseau de CAO lui-même”. Systèmes connectés au réseau de CAO, y compris les systèmes au niveau de Police de la ville de Baltimore, ont été mis hors ligne pour empêcher la propagation de la ransomware.

“Une fois que tous les systèmes ont été correctement vérifiés, la CAO a été ramenée en ligne “, a déclaré Johnson.” Aucune donnée personnelle d’un citoyen n’a été compromis dans cette attaque. La Ville continue de travailler avec ses partenaires fédéraux pour déterminer la source de l’intrusion “.

Alors que le type exact de ransomware dans l’attaque de Baltimore a n’a pas été révélé, le point d’entrée a été au moins partiellement identifiés. Johnson a déclaré que l’information de la ville de Baltimore Bureau de la technologie avait déterminé “que la vulnérabilité était la suite à une modification interne du pare-feu par un technicien qui résolvait un problème de communication non lié au sein de la CAO Système.”

Le changement de pare-feu n’avait apparemment que quatre heures auparavant. les attaquants l’ont exploitée. L’écart a probablement été identifié par le attaquant via une analyse automatisée. Mais une ville de Baltimore Un porte-parole a déclaré qu’aucun autre détail ne pouvait être partagé alors que le l’enquête était en cours.

Semaine de ransomware d’Atlanta

Dans le cas d’Atlanta, le moyen d’accès n’a pas été révélé, mais le type d’attaque a été identifié: le message du ransomware correspond à celle de Samsam, une variété de malwares repérée pour la première fois en 2015. Les attaquants derrière le ransomware ont exigé 51 000 $ de Bitcoin pour fournir les clés de cryptage pour tous les affectés systèmes.

Selon des responsables d’Atlanta, Atlanta Information Management (AIM) a pris connaissance de l’attaque pour la première fois “le jeudi 22 mars � 5h40, ce qui a affecté divers clients internes et clients applications qui sont utilisées pour payer des factures ou accéder à un tribunal information.”

Le système de paiement de factures, qui utilise Capricorn – un système basé sur Java portail libre-service de SilverBlaze, une société basée en Ontario, reste hors ligne. Le système de paiement par le tribunal des amendes et des billets est partiellement sauvegardé, mais un système Windows Internet Information Server pour accéder aux informations de cas est toujours en panne. Certains systèmes internes ont été restaurés, selon une déclaration du maire de Bureau des communications d’Atlanta.

Analyse des systèmes de la ville d’Atlanta et de l’attaque précédente vecteurs pour Samsam suggère deux points d’entrée possibles, à la fois associés aux systèmes faisant face au public qui sont actuellement hors ligne. Attaques Samsam en 2016 et début 2017, telles que celle sur Union Memorial Hospital de Baltimore, a tiré parti des vulnérabilités de plateformes Java open source. Mais selon un rapport de Dell Secureworks, les attaques les plus récentes se sont tournées vers la force brute attaques par mot de passe pour obtenir l’accès au protocole de bureau à distance serveur, puis exécution des scripts PowerShell qui installent outils de collecte de mot de passe et le ransomware lui-même.

Basé sur des données de Shodan, le portail Capricorn pour payer Les factures d’eau d’Atlanta ont utilisé Apache Tomcat et l’un des tribunaux les systèmes d’information avaient un port RDP ouvert, ainsi que Message Message Server Bloquer (SMB) la mise en réseau visible depuis l’Internet public. Atlantaa déplacé une grande partie du reste des systèmes judiciaires de la ville dans Le nuage Azure de Microsoft.

Alors qu’une personne affirmant avoir une connaissance de la ville attaque de ransomware croyait que le serveur Capricorn était impliqué, Le partenaire fondateur de SilverBlaze, Dan Mair, a fermement démenti le Les logiciels de la société ont été compromis lors de l’attaque d’Atlanta, déclarant simplement, “Respectueusement, vos informations sont incorrectes.”

Après une image indiquant l’adresse Web de la page de la rançon pour l’infection d’Atlanta Samsam a filtré, comme l’a rapporté Steve Ragan du CSO, la page a été fermée par les assaillants.

Boeing il

Le cas chez Boeing est beaucoup moins clair et le sera probablement reste comme ça. Selon une déclaration de Boeing Vice-présidente des communications des avions commerciaux Linda Mills, Centre de cybersécurité de Boeing “a détecté un nombre limité de intrusion de logiciels malveillants affectant un petit nombre de systèmes “. Mills a déclaré que “des remèdes ont été appliqués; ce n’est pas un problème de production et de livraison “- signifiant que la fabrication n’était pas significativement interrompu. Mills a déclaré au Seattle Times que le “incident” était limité à quelques machines. Nous avons déployé des logiciels des patchs. Il n’ya eu aucune interruption du programme des 777 avions à réaction ni de nos programmes. ”

Ce n’est pas ainsi que les e-mails internes vus par le Seattle Times Dominic Gates a d’abord caractérisé l’épisode. Un message de Mike VanderWel, ingénieur en chef à la production d’avions commerciaux de Boeing averti que le malware était “métastasant rapidement du Nord Charleston, et je viens d’entendre 777 [outils d’assemblage automatisé de longerons] peut-être diminué. “Mais ces préoccupations semblaient avoir été exagéré.

Il est peu probable que le malware impliqué soit le WannaCry d’origine, qui a frappé les ordinateurs du monde entier en mai dernier. WannaCry — dont les États-Unis le gouvernement a récemment officiellement déclaré a été lancé par North Corée — exploitant Eternalblue, un exploit de Microsoft développé par la NSA Les protocoles Windows SMB et NetBIOS sur TCP / IP (NBT), pour identifier de nouvelles cibles et se répandre à travers les réseaux. Cependant, il peut avoir été une nouvelle version utilisant le même exploit. Sinon, il pourrait ont été qu’un système qui avait déjà été infecté par WannaCry a été redémarré dans un réseau où il ne pouvait pas atteindre le domaine défini comme “kill switch” du malware et a commencé à se propager à nouveau.

Quel que fût le malware chez Boeing, il semble avoir été détecté et arrêté rapidement. La plus grande question: comment est-ce arrivé? L’usine Boeing de Charleston pour commencer ne sera probablement pas révélée dans peu de temps.

Pendant ce temps, le service de text-to-911 de Denver était en panne pendant la nuit, avec 311 et d’autres services basés sur Internet. Ars mettra à jour cette histoire si ces pannes étaient ransomware liés.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: