Когда произошла атака на Атланту?

22 марта 2018 года власти города Атланта обнаружили, что их операционные системы и службы безопасности стали жертвой атаки программы-вымогателя. Во время утечки данных были также утеряны некоторые документы городской администрации, и многим государственным служащим пришлось создавать бумажные копии документов.

Что произошло?

Перед атакой было обнаружено, что ИТ-инфраструктура Атланты ослаблена, что делает ее более уязвимой для потенциальной кибератаки. В аудиторском отчете от января 2018 года было указано, что:

• Городская система управления информационной безопасностью включала «отсутствующие или устаревшие политики, процедуры и руководящие документы»
• Было обнаружено до 1500–2000 серьезных уязвимостей
• Почти на 100 правительственных серверах было установлено устаревшее программное обеспечение
• Имело место «отсутствие формальных процессов для выявления, оценки и снижения рисков»

Отсутствие надежных протоколов безопасности вкупе с халатностью сотрудников в отношении кибербезопасности создали идеальные условия для кибератаки. 22 марта Департамент управления информацией Атланты был уведомлен о сбоях в работе нескольких внутренних и клиентских приложений, «включая некоторые приложения, которые клиенты используют для оплаты счетов или доступа к судебной информации».

Заразив общедоступные сети Wi-Fi, включая сети Wi-Fi в аэропортах, а также муниципальные системы и сети города, атака программы-вымогателя затронула возможность граждан получать доступ к конфиденциальным или секретным данным, использовать приложения, ориентированные на клиентов, выполнять финансовые операции и оплачивать счета через Интернет. Кроме того, было зашифровано до трети локальных приложений, из-за чего системы, файлы и документы стали недоступными. Чтобы адаптироваться к возникшим сложностям, компаниям пришлось вернуться к рукописным заметкам и записям.

В результате атаки программы-вымогателя, идентифицированной как SamSam, государственным служащим, пытавшимся получить доступ к пораженным системам и сетям, предлагалось заплатить до 50 000 долларов в биткоинах, чтобы получить секретный ключ, с помощью которого можно будет удалить вирус и вернуть доступ к своим приложениям.

Что такое SamSam?

Программа-вымогатель SamSam — это тип вредоносного ПО, который отслеживает сетевую активность для получения дополнительной информации о текущих операциях и оценки потенциальных уязвимостей. В этом она отличается от других известных программ-вымогателей, таких как WannaCry и Petya, которые начинают атаку сразу после проникновения в целевые сети. SamSam позволяет злоумышленнику проникнуть глубоко в сеть, чтобы гарантировать максимальный ущерб и огромные суммы выкупа. Программа также удаляет все существующие резервные копии, которые можно было бы использовать для нейтрализации атаки.

Хакеры могут вручную получить доступ к устаревшим сетевым серверам и системным данным следующими способами:

• Используя уязвимости протокола удаленной сети (RDP) для доступа к сети
• Проникнув на серверы протокола передачи файлов (FTP)
• Выполнив атаку методом подбора в отношении уязвимых паролей

Проникнув в сеть, хакер может получить полномочия и привилегии администратора, которые позволят ему незаметно внедрить дополнительные вредоносные программы и отключить средства защиты, такие как двухфакторная аутентификация, чтобы избежать обнаружения.

Программа-вымогатель SamSam уникальна в том, что она шифрует данные, файлы и серверы, а также все базовые элементы и приложения, которые могут помочь в перезагрузке оборудования. Это делает восстановление данных крайне трудоемким процессом. Создание файлов и их шифрование уникальными ключами передового стандарта шифрования (AES) и открытыми ключами RSA сделает доступ к файлам невозможным и гарантирует, что для успешной расшифровки придется заплатить выкуп.

Осуществив задуманное, киберпреступник требует выкуп, запрашивая оплату через веб-сайт даркнета с открытым исходным кодом. После оплаты предоставляется криптографический ключ, позволяющий расшифровать сеть.

Как отреагировали городские власти?

Неизвестно, заплатило ли правительство Атланты выкуп, но финансовые последствия атаки программы-вымогателя оказались беспрецедентными. После требования выплаты 50 000 долларов США в биткойнах хакеры удалили страницу, позволяющую произвести платеж, что вынудило город принять чрезвычайные меры для ликвидации последствий.

Каковы были последствия атаки программы-вымогателя на Атланту?

Власти Атланты потратили более 2,6 млн долларов США по контрактам на оказание экстренной помощи, чтобы ликвидировать последствия атаки SamSam и восстановить свои компьютерные системы и сервисы. Кибератака затронула пять из 13 отделов местного самоуправления в течение пяти дней. В счет вошли услуги по реагированию на инциденты от Edelman стоимостью 50 000 долларов США, расходы на персонал в Atlanta Information Management (AIM), экспертиза от частной фирмы Secureworks, а также услуги экспертов государственного сектора из Cisco и Microsoft Cloud по возвращению систем в рабочее состояние.

В период с 22 марта по 2 апреля от атаки программы-вымогателя пострадали системы муниципального суда Атланты, службы коммунальных платежей и парковки, которые были вынуждены вернуться к ручной обработке данных. Сюда также входили системы электронных и личных платежей за базовые услуги, такие как водоснабжение.

Среди важных транспортных объектов, которые остались незатронутыми, оказался международный аэропорт Хартсфилд-Джексон Атланта, в котором по рекомендации ФБР, Секретной службы и Министерства внутренней безопасности отключены общедоступные сети Wi-Fi. В отличие от атаки программ-вымогателей на больницы Великобритании, которая нанесла серьезный удар по критически важным службам, таким как пожарные, полиция и здравоохранение, медицинские службы Атланты напрямую не пострадали.

Через пять дней после атаки городские власти Атланты запустили информационный центр, сообщив сотрудникам и жителям, что они снова могут включить свои компьютеры, но большое количество услуг по-прежнему остается недоступным. Хотя сотрудникам были сразу же доступны некоторые услуги, такие как электронная почта, Oracle и Accela, в числе недоступных оказались доступ к Wi-Fi в аэропорту, онлайн-платежи за воду (заработали только в мае) и онлайн-платежи за компенсацию судебных издержек (заработали только в июне). Однако некоторые услуги или данные остались безвозвратно потеряны, включая ряд юридических документов и полицейских видеофайлов.

После атаки мэр Атланты Киша Лэнс-Боттомс (Keisha Lance Bottoms) и несколько руководителей высшего звена заявили, что данные граждан не были скомпрометированы и что кибербезопасность останется в центре внимания правительственной политики в будущем. Город назначил новым директором по информационным технологиям Гэри Брэнтли (Gary Brantley) в сентябре 2018 года, а в июне следующего года выбрал нового главного операционного директора и директора по подготовке к чрезвычайным ситуациям.

В декабре 2018 года Министерство юстиции США объявило, что большое жюри федерального суда Атланты обвинило двух граждан Ирана в сложной атаке с использованием программы-вымогателя, в результате которой было заражено около 3789 компьютеров, принадлежащих Атланте, включая серверы и рабочие станции. Правительство признало, что атака «значительно нарушила работу Атланты, нанесла ущерб некоторым государственным органам и привела к существенным расходам в ближайшие недели и месяцы. На сегодняшний день атака принесла миллионные убытки.»