Florence, Ala. Golpeado por ransomware 12 días después de haber sido alertado por KrebsOnSecurity – Krebs on Protection


A finales de mayo, KrebsOnSecurity alertó a numerosos funcionarios en Florencia, ala. que sus sistemas de tecnología de la información habían sido infiltrados por hackers que se especializan en implementar ransomware. Sin embargo, el viernes 5 de junio, los intrusos lanzaron su ataque, desplegando ransomware y exigiendo casi $ 300,000 en bitcoins. Los funcionarios de la ciudad ahora dicen que planean pagar la demanda de rescate, con la esperanza de mantener los datos personales de sus ciudadanos fuera de Net.

Ubicado en la esquina noroeste de Alabama, Florence es el hogar de aproximadamente 40,000 residentes. Es parte de un área metropolitana de cuatro ciudades quizás mejor conocida por el Muscle mass Shoals Seem Studio que grabó los tonos dulces de muchos actos musicales de renombre en los años sesenta y setenta.

Imagen: Florenceal.org

El 26 de mayo, siguiendo un consejo de la firma de ciberseguridad con sede en Milwaukee, Wisconsin. Mantener la seguridad, KrebsOnSecurity contactó a la oficina del alcalde de Florence para alertarlos de que un sistema de Home windows 10 en su entorno de TI había sido comandado por una pandilla de ransomware.

Comparación de la información compartida por el especialista en internet oscura de Keep Safety Yuliana Bellini con el directorio de empleados en el sitio website de Florencia se indicaba el nombre de usuario de la computadora que los atacantes habían utilizado para establecerse en la crimson el 6 de mayo pertenecía al administrador de sistemas de información de la ciudad.

Mi llamada fue transferida a no menos de tres personas diferentes, ninguna de las cuales parecía ansiosa por actuar sobre la información. Finalmente, me encaminaron a la línea que no era de emergencia para el departamento de policía de Florencia. Cuando esa llamada fue directamente al correo de voz, dejé un mensaje y llamé al equipo de respuesta de emergencia de la ciudad.

Ese último esfuerzo provocó una amable llamada de respuesta al día siguiente de un administrador del sistema de la ciudad, quien me agradeció por los avisos y dijo que él y sus colegas habían aislado la computadora y la cuenta de purple de Home windows Keep Safety marcada como pirateada.

«No puedo decirte lo agradecidos que estamos de que nos hayas ayudado a esquivar esta bala», dijo el técnico en un mensaje de correo de voz para este autor. “Ya nos ocupamos de todo, y existen algunos protocolos diferentes. Ojalá no tengamos otro susto cercano como lo hicimos, y ojalá no tengamos que volver a hablar entre nosotros «.

Pero el viernes Alcalde de Florencia Steve Holt confirmado que un ataque cibernético había cerrado el sistema de correo electrónico de la ciudad. Holt dijo a los medios de comunicación locales en ese momento que no había indicios de que el ransomware estuviera involucrado.

Sin embargo, en una entrevista con KrebsOnSecurity el martes, Holt reconoció que la ciudad estaba siendo extorsionada por DoppelPaymer, una pandilla de ransomware con reputación de negociar algunos de los pagos de extorsión más altos entre docenas de familias conocidas de ransomware.

El pago promedio de ransomware por cepa de ransomware. Fuente: Chainalysis.

Holt dijo que la misma pandilla parece haber comprometido simultáneamente las redes que pertenecen a otras cuatro víctimas dentro de una hora de Florencia, incluido otro municipio que no quiso nombrar. Holt dijo que los extorsionistas exigieron inicialmente 39 bitcoins (~ USD $ 378,000), pero que una empresa de seguridad externa contratada por la ciudad había negociado el precio hasta 30 bitcoins (~ USD $ 291,000).

Al igual que muchas otras pandillas de delitos informáticos que operan en estos días, DoppelPaymer robará una gran cantidad de datos a las víctimas antes de lanzar el ransomware y luego amenazará con publicar o vender los datos a menos que se pague una demanda de rescate.

Holt le dijo a KrebsOnSecurity que la ciudad no puede darse el lujo de ver los datos personales y financieros de sus ciudadanos en peligro al no pagar.

“¿Tienen nuestras cosas? No lo sabemos, pero esa es la tirada de los dados «, dijo Holt.

Steve Value, el gerente de TI de Florence, cuyas credenciales de Microsoft Windows fueron robadas el 6 de mayo por un ataque de phishing con temática de DHL y se usaban para comprometer aún más la purple de la ciudad, explicó que después de mi notificación el 26 de mayo, la ciudad tomó inmediatamente una serie de medidas preventivas para evitar un posible incidente de ransomware Price tag dijo que cuando llegó el ransomware, estaban tratando de lograr que los líderes de la ciudad aprobaran fondos para una investigación y remediación más exhaustiva.

«Estábamos tratando de involucrar a otra compañía de respuesta (ciberseguridad), y eso es lo que estábamos tratando de pasar por el consejo de la ciudad el viernes cuando nos golpearon», dijo Value. «Sentimos que podemos reconstruir nuestra crimson, pero no podemos deshacer las cosas si se divulga la información own de las personas».

Una nota de rescate DoppelPaymer. Imagen: Crowdstrike.

Fabian Wosar, director de tecnología en Emsisoft, dijeron que las organizaciones deben comprender que el único paso que garantiza que una infestación de malware no se convierta en un ataque de ransomware completo es la reconstrucción completa de la purple comprometida, incluidos los sistemas de correo electrónico.

«Existe una creencia errónea de que si usted se vio comprometido puede salirse con la suya con una reconstrucción completa de las redes y la infraestructura afectadas», dijo Wosar, señalando que no es raro que los actores de amenazas mantengan el command incluso cuando una organización víctima de ransomware está restaurando sus sistemas a partir de copias de seguridad.

«A menudo incluso demuestran que todavía» poseen «la crimson publicando capturas de pantalla de mensajes que hablan sobre el incidente», dijo Wosar.

Fundador de Keep Security Alex Holden dijo que la situación de Florence es muy común, y que muy a menudo los proveedores de ransomware están dentro de la crimson de la víctima durante semanas o meses antes de lanzar su malware.

«A menudo vislumbramos a los malos que comienzan a atacar las redes de computadoras y hacemos todo lo posible para que las víctimas sepan sobre el ataque», dijo Holden. «Dado que no podemos ver todos los aspectos del ataque, aconsejamos a las víctimas que lleven a cabo una investigación completa de los hechos, con base en la evidencia recopilada. Pero cuando lidiamos con situaciones sensibles como el ransomware, el tiempo y la precisión son críticos. Si la víctima escucha y busca opiniones de expertos, tienen una gran oportunidad de detener con éxito la violación antes de que se convierta en rescate «.


Etiquetas: alex holden, CrowdStrike, DoppelPaymer, Emsisoft, Fabian Wosar, Keep Security, Steve Selling price, Yuliana Bellini

Esta entrada fue publicada el martes 9 de junio de 2020 a la 1:05 pm y está archivada en Últimas advertencias, Ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique