NSA zaprzecza, że ​​narzędzie Hacker zostało użyte do stworzenia ransomware Bitcoin

Amerykańska Agencja Bezpieczeństwa Narodowego (NSA) zaprzeczyła, że ​​którekolwiek z jej narzędzi hakerskich zostało użyte przez cyberprzestępców do propagowania ataku na systemy rządowe Baltimore.

Atak osłabia służby miejskie od kilku tygodni, gdy urzędnicy zastanawiają się nad następnym krokiem. Według oświadczenia Przedstawiciela C.A. Holenderski Ruppersberger, urzędnicy NSA, którzy z nim rozmawiali, zaprzeczyli, że jakiekolwiek narzędzia opracowane przez agencję były używane do przechwytywania lub zakłócania ważnych rządowych systemów komputerowych.

Idąc za oświadczeniem burmistrza Bernarda Younga, miasto nie chce zapłacić okupu żądanego przez sprawców, który wynosi 3 bitcoiny za zainfekowany system. Urzędnicy rządowi przyznają, że mogą minąć miesiące, zanim wszystkie platformy zostaną przywrócone

Chociaż zdecydowana większość systemów w mieście została zamknięta w wyniku ataku złośliwego oprogramowania, krytyczne, takie jak sieci 911 i 311, pozostały nienaruszone i nadal działają. Raporty Wall Street Journal że około 10 000 komputerów rządowych zostało zainfekowanych, a wiele z nich nadal jest zablokowanych.

W chwili obecnej występują opóźnienia w przetwarzaniu sprzedaży domów, ponieważ systemów, których dotyczy problem, nie można wykorzystać do ujawnienia szczegółów dotyczących sprzedawców nieruchomości, takich jak niezapłacone zastawy. Takie informacje muszą zostać udostępnione ubezpieczycielom, ale obecnie są niedostępne. Wpłynęło to również na systemy rozliczania wody, więc klienci nie będą otrzymywać rachunków przez jakiś czas. Opóźnienie prawdopodobnie spowoduje wzrost ładunków, gdy sytuacja zostanie rozwiązana.

Poniżej znajduje się fragment pliku oficjalne oświadczenie burmistrza przegląd aktualnej sytuacji.

„Nie jestem w stanie podać dokładnego harmonogramu, kiedy wszystkie systemy zostaną przywrócone. Jak każde duże przedsiębiorstwo, mamy tysiące systemów i aplikacji.

Naszym celem jest przywrócenie krytycznych usług online i robienie tego w sposób zapewniający utrzymanie bezpieczeństwa jako jednego z naszych głównych priorytetów w całym tym procesie. Możesz zauważyć, że częściowe usługi zaczną się przywracać w ciągu kilku tygodni, podczas gdy niektóre z naszych bardziej skomplikowanych systemów mogą zająć kilka miesięcy w procesie odzyskiwania ”.

Google Disabled Baltimore Gmail Accounts

W następstwie ataku pracownicy rządowi w Baltimore najwyraźniej próbowali założyć tymczasowe konta Gmail jako obejście po dezaktywacji zainfekowanych systemów i według Baltimore Sun, wielu z nich było niepełnosprawnych.

Początkowo nie było jasne, dlaczego tak się stało, ale Brooks Hocog, rzecznik Google, wyjaśnił, że masowe tworzenie kont Gmail w zlokalizowanym obszarze geograficznym uruchomiło system bezpieczeństwa firmy, który wyłączył zdecydowaną większość z nich. Wiele z nich zostało podobno przywróconych wkrótce po opublikowaniu oświadczenia.


Jak doszło do infekcji

Hakerzy byli w stanie zainfekować tysiące systemów komputerowych w bardzo krótkim czasie, rzekomo wykorzystując EternalBlue, narzędzie hakerskie NSA, które wyciekło. 7 maja pracownicy władz miasta obudzili się i znaleźli krytyczne systemy plików zaszyfrowane przez oprogramowanie ransomware.

Cyberprzestępcy żądali płatności w bitcoinach. Chociaż systemy zostały natychmiast odłączone i wezwano FBI w celu zbadania sprawy, zaszyfrowano między innymi system poczty głosowej administracji miasta i bazę danych kar za parkowanie. Firma Armor, zajmująca się bezpieczeństwem cybernetycznym, udostępniła zredagowany obraz notatki pozostawionej przez hakerzy żądający okupu.

Ostrzegł, że po czterech dniach wzrośnie do 10 000 dolarów dziennie, dodając, że dalsze negocjacje nie będą miały miejsca.

Uważa się, że tak postąpili cyberprzestępcy uzyskał dostęp do serwerów rządowych przez wrażliwy system komputerowy. Następnie byli w stanie stworzyć backdoora, który umożliwił zainfekowanej maszynie infekowanie innych podłączonych do jej sieci.

Podwykonawcy zajmujący się cyberbezpieczeństwem pracujący nad projektem rzekomo odkryli inne narzędzie zwane powłoką internetową, które mogło być używane w połączeniu z EternalBlue do „przekazywania skrótu” przez komputery w sieci. Uważa się, że umożliwiło to dalsze rozprzestrzenianie się złośliwego oprogramowania dzięki wykorzystaniu skopiowanych danych uwierzytelniających do ominięcia protokołów sieciowych.

EternalBlue szeroko stosowany przez hakerów kryptograficznych

Exploit EternalBlue został opracowany przez NSA, ale wyciekł do sieci przez Shadow Brokers w 2017 roku. Od tego czasu oryginalny kod został zmodyfikowany przez wielu złośliwych aktorów w celu penetracji systemów komputerowych i instalowania złośliwego oprogramowania, kopaczy kryptowalut i oprogramowania ransomware.

Został w szczególności wykorzystany do przeprowadzenia niesławnego ataku ransomware WannaCry, który zainfekował komputery na całym świecie w 2017 roku, zaledwie kilka miesięcy po wycieku. Działał poprzez szyfrowanie plików na komputerach osobistych, a następnie zażądanie okupu w postaci kryptowalut. Ponad 150 000 komputerów zostało zainfekowanych w ponad 100 krajach.

Firma Microsoft szybko wypuściła poprawkę zaprojektowaną w celu udaremnienia ataku, ale wciąż istnieją miliony komputerów, które są podatne na ataki ze względu na powszechne stosowanie fałszywego oprogramowania Windows, niepowodzenie w zainstalowaniu poprawki lub najnowszych aktualizacji zabezpieczeń firmy Microsoft. Śledczy uważają, że niepowodzenie w zainstalowaniu aktualizacji zabezpieczeń przeciwko exploitowi spowodowało, że atak w Baltimore był tak skuteczny.

EternalBlue preferowane przez grupy hakerów Crypto Mining

EternalBlue ponownie znalazł się w centrum uwagi w styczniu po tym, jak naukowcy odkryli jego zastosowanie w wyrafinowanej kampanii cryptojackingu, która była szczególnie skierowana na komputery i serwery w Chinach..

Zespół bezpieczeństwa Qihoo 360 jest uznawany za pierwszy, który wykrył infekcję. Kampania najwyraźniej polegała na EternalBlue wraz z kilkoma potężnymi skryptami PowerShell, aby pobierać ładunki złośliwego oprogramowania na zainfekowane maszyny i wydobywać kryptowaluty, takie jak Monero.

Niedawno firma Symantec ujawniła poważną kampanię cryptojackingu z wykorzystaniem exploita EternalBlue, który był szczególnie wymierzony w przedsiębiorstwa w Chinach. Opierał się na koparce kryptograficznej opartej na plikach. Najwyraźniej początkowa infekcja maszyn odbywała się za pośrednictwem wiadomości phishingowych.

Uważa się, że niedawny rozwój rynku kryptowalut napędza odrodzenie ataków złośliwego oprogramowania cryptojacking. Raporty firmy Symantec że infekcje cryptojacking spadły o około 50 procent w 2018 roku po tym, jak rynek kryptowalut przeszedł w tryb niedźwiedzi.

Raport podkreśla, że ​​chociaż liczba ataków ransomware spadła, a teraz spadła o około 20%, kampanie skierowane do przedsiębiorstw wzrosły o około 12%.

(Wyróżnione zdjęcie: Pixabay)

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map