Zaatakowano sieć transportu miejskiego w San Francisco
Sieć komputerowa operatora transportu miejskiego w San Francisco - SFMTA - została zaatakowana przez oprogramowania typ ransomware (atakujący żądają okupu za odblokowanie dostępu). Pasażerowie nie mieli dostępu do automatów z biletami sieci transportu miejskiego Muni (autobusy, tramwaje, lekka kolei). Cyberwłamywacze dali miasto czas do końca poniedziałku na zapłacenie okupu.
W zamian za odzyskanie dostępu do sieci przestępcy zażądali okupu w wysokości 100 bitcoinów. Czym jest bitcoin? To kryptowaluta, a okup dla cyberprzestępców był wart około 73 000 dolarów, czyli około 302 950 zł. “You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681 ,Enter" - taki komunikat pojawił się na zainfekowanych komputerach. "Atak nie miał dużego wpływu na funkcjonowanie sytemu komunikacji. Więcej informacji zostanie podanych dopiero po przeprowadzeniu dokładnej analizy" - powiedział Paul Rose, rzecznik Muni. Jak podaje serwis Sfexaminer, część terminali nadal pozostawaje pod kontrolą cyberwłamywaczy. Termin zapłaty okupu mija w końca poniedziałku czasu lokalnego. Jeśli miasto nie zapłaci, terminale zostaną zablokowane na stałe.
"Do ataku wykorzystano znane oprogramowanie ransomware - cryptom27@yandex.com. Nie potwierdzono do końca wektora ataku, niektóre źródła wskazują na typowy phishing a później eskalację wewnątrz sieci i przejęcie przynajmniej jednego z kontrolerów domeny. W odróżnieniu od celu ataku, sam czas ataku wydaje się nieprzypadkowy z uwagi na przypadające na czwartek święto dziękczynienia i długi weekend, a więc mniejszą czujność i dłuższy czas reakcji na wypadek incydentu. Z przekazów internetowych oraz komunikacji SMFTA i Muni nie wynika też do końca jaki jest obecny status odzyskiwania sprawności sieci" - komentuje Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte w Polsce.
Od kilku miesięcy ransomware jest jednym z największych zagrożeń czyhających zarówno na organizacje, jak i użytkowników indywidualnych. Przestępcy upatrzyli sobie w tym konkretnym sposobie szantażowania swoich ofiar skuteczną metodę zarabiania pieniędzy. Bezradni wobec utraty danych zaatakowani użytkownicy prywatni i firmowi poświęcają bardzo poważne sumy w celu odzyskania dostępu do cennych informacji
Ataki z wykorzystaniem ransomware są motywowane chęcią zysku finansowego. Poza wykorzystywaniem nadarzającej się okazji do infekowania (np. poprzez SPAM) wykorzystywane są coraz częściej do ataków ukierunkowanych na organizacje, gdzie właściciel jest bardziej skłonny do podjęcia decyzji o zapłacie okupu z uwagi na potencjalnie duże skutki (np. wpływ na zdrowie lub życie). Przykładem jest tegoroczny wysyp ataków na szpitale - szpital Hollywood Presbiterian zapłacił 17 tysięcy dolarów okupu za odszyfrowanie swoich plików.
Eksperci z Kaspersky Lab zbadali różne typy terminali interaktywnych wykorzystywanych we współczesnych miastach do rozmaitych celów - od płacenia za różne usługi po rozrywkę. Analiza wykazała, że wiele z tych urządzeń zawiera luki w zabezpieczeniach, które mogą zagrozić prywatnym danym użytkowników i zostać wykorzystane do szpiegowania lub rozprzestrzeniania szkodliwego kodu. Oprócz terminali specjaliści zbadali fotoradary stosowane w miastach oraz ich infrastrukturę pomocniczą. Odkryto, że cyberprzestępcy mogą uzyskać łatwy dostęp do takich urządzeń i manipulować zebranymi przez nie danymi.
Terminale umożliwiające zakup biletu w kinie, wypożyczenie roweru, kioski usług e-administracji, systemy rezerwacyjne i informacyjne na lotniskach czy terminale oferujące rozrywkę dla pasażerów w taksówkach miejskich mogą mieć różny wygląd, jednak wewnątrz wszystkie są niemal identyczne. Każdy taki terminal stanowi urządzenie oparte na systemie Windows lub Android. Główna różnica w porównaniu ze zwykłymi urządzeniami tkwi w specjalnym oprogramowaniu, które pełni rolę interfejsu.
Oprogramowanie to zapewnia użytkownikowi łatwy dostęp do określonych funkcji, ograniczając jednocześnie widoczność innych funkcji systemu operacyjnego urządzenia, takich jak uruchamianie przeglądarki internetowej czy klawiatury wirtualnej. Dostęp do tych funkcji daje osobie atakującej wiele możliwości modyfikacji systemu, tak jakby znajdowała się przed komputerem. Badanie pokazało, że niemal każdy cyfrowy terminal publiczny zawiera przynajmniej jeden słaby punkt w zabezpieczeniach, który pozwala przestępcom uzyskać dostęp do ukrytych funkcji systemu operacyjnego.
"Niektóre spośród zbadanych przez nas terminali publicznych przetwarzały bardzo ważne informacje, takie jak dane osobowe użytkownika, w tym numery kart płatniczych oraz informacje kontaktowe (np. numery telefonów komórkowych). Wiele z tych terminali jest połączonych ze sobą i z innymi sieciami. Dla osoby atakującej mogą one stanowić bardzo efektywną platformę dla różnych rodzajów ataków - od zwykłego chuligaństwa po wyrafinowane włamanie do sieci właściciela terminalu. Co więcej, uważamy, że w przyszłości publiczne urządzenia cyfrowe będą w większym stopniu zintegrowane z pozostałą infrastrukturą inteligentnego miasta, ponieważ stanowią one wygodny sposób interakcji z wieloma serwisami. Zanim to nastąpi, producenci muszą zadbać o to, aby nie można było włamać się do terminali za pośrednictwem luk w zabezpieczeniach" - powiedział Denis Makruszin, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
