Atlantic.Net poskytuje toto bezpečnostní upozornění jako novinku. Chceme ujistit naše zákazníky, že Atlantic.Net nepoužívá žádný z těchto produktů ovlivněných tímto zneužitím interně ani v žádné z našich nabídek služeb.
Kolují zprávy o odvážném kyberzločineckém ransomwarovém útoku využívajícím interní servery policejního oddělení ve Washingtonu DC. Snímky obrazovky interních souborových serverů oddělení byly nahrány na ransomwarovou stránku Babuk Locker a 26. dubna 2021 zveřejněny na darknetu.
Metropolitní policejní oddělení (MPD) řídí město Washington DC. Jedná se o vysoce postavenou policii, která hlídá několik vládních míst. Nedávno byli povoláni k ochraně před útokem na budovu Kapitolu Spojených států 6. ledna 2021. Američtí vysílatelé spekulovali, že MPD bylo cílem z těchto důvodů.
Co víme o porušení zabezpečení údajů?
Hackeři získali neoprávněný přístup k počítačům MPD a stáhli přes 250 GB vysoce citlivých a nešifrovaných souborů. Jednalo se o součást pokročilého kybernetického útoku, kdy byly policejní servery infiltrovány kolem 19. dubna 2021.
Ransomwarový gang na svém webu uvádí, že stažená data zahrnují informace o policejních informátorech, pouličních gangech DC a citlivé informace o sloužících policistech. MPD potvrdilo narušení 27. dubna, mluvčí Sean Hickman řekl: „Jsme si vědomi neoprávněného přístupu na náš server.“
Následně bylo oznámeno, že MPD spolupracuje s FBI, aby čelila této přetrvávající vážné hrozbě. Předpokládá se, že útok byl finančně motivován. V předchozích kyberútocích Babuk zveřejnili na svých webových stránkách výkupné, ale není známo, jaké výkupné bylo pro MPD stanoveno. Babuk dal MPD 3 dny na odpověď na výkupné, jinak začnou zveřejňovat citlivé informace.
Babuk ransomware a samotná skupina jsou relativními nováčky na scéně, poprvé jsme se o nich dozvěděli v lednu 2021. Je známo, že byli zapojeni do nejméně 5 úniků dat velkých podniků, včetně britské společnosti Serco Group PLC, britské vlády. společnost poskytující služby.
Společnost McAfee dokončila hloubkovou technickou analýzu ransomwaru Babuk. Abychom to shrnuli, malware odstraňuje stínové kopie serveru, podobně jako zálohy místního systému. Soubory jsou šifrovány klíčem pomocí extrémně silného algoritmu ChaCha, který znemožňuje prolomení klíče.
Jaké jsou pravděpodobné příčiny porušení?
Stále se učíme, jak přesně bylo MPD zaměřeno, protože detaily jsou na zemi tenké. Když vezmeme v úvahu předchozí útoky Babuk ransomware, je vysoce pravděpodobné, že se bude jednat o jeden z následujících:
- E-mail Spear Phishing – phishingová kampaň je obvykle příčinou číslo jedna narušení dat. Hackeři spolupracují s pracovníky v první linii, aby získali jejich důvěru, nebo je oklamali, aby si z e-mailu stáhli malwarovou přílohu. Jakmile je malware stažen, spustí se pomocí různých vrstev sofistikovanosti a kompromituje síť oběti.
- Využitelná veřejně přístupná aplikace – může to být jakákoli aplikace, webová stránka nebo adresa URL, která je vystavena veřejnému internetu. Každá aplikace může být potenciálně zneužita; proto jsou opravy a aktualizace zabezpečení tak důležité.
- Útok na vzdálenou plochu – dalším osvědčeným vektorem útoku jsou útoky RDP hrubou silou na zranitelné koncové body. Pokud má společnost externí připojení ke vzdálené ploše, vše, co stojí mezi hackerem a serverem, je uživatelské jméno a heslo. Pokud je připojení RDP zabezpečeno slabými přihlašovacími údaji, lze je poměrně rychle uhodnout pomocí hackerských nástrojů.
- Těžba dat/Keylogging/Infostealer – další možnost, a i když méně pravděpodobná, přihlašovací údaje mohly být nalezeny v online úložišti kódů MPD nebo mohlo dojít ke kompromitaci terminálu za účelem odcizení přihlašovacích údajů policejním počítačům.
Co se stane dál?
MPD zatím mlčí, pouze potvrdilo narušení, ale nekomentovalo obsah údajně odcizený ze serverů MPD. V současné době se zdá, že čekáme na vypršení 3denní lhůty dané MPD. Je nepravděpodobné, že MPD zaplatí výkupné a doporučení FBI obvykle zní výkupné neplatit, ale vzhledem k potenciálně extrémní citlivosti kompromitovaných dat, zejména možného seznamu policejních informátorů, bude Atlantic.Net dohlížet na jak se situace vyvine.
Pokud se vaše firma zajímá o kybernetickou bezpečnost, neváhejte se obrátit na Atlantic.Net. Jsme specialisté na Managed Services, Dedicated Cloud Hosting a soulad s HIPAA. Bezpečnost naší infrastruktury je prvořadá a tvrdě pracujeme na tom, abychom zajistili, že máme ty nejlepší bezpečnostní procesy.