Уязвимость EternalBlue парализовала очередной город в США



    В начале мая шифровальщик RobbinHood, который относительно недавно появился на арене вымогательского ПО, заблокировал 10 тыс. персональных компьютеров в муниципалитете Балтимора. Как стало известно в последние дни, злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue.

    Помимо рабочих станций сотрудников, зловред смог добраться до одной из систем контроля ЖКХ, вывел в оффлайн базу штрафов за парковку и местный реестр сделок с недвижимостью. Граждане в одночасье потеряли возможность оплачивать коммунальные счета, приобретать дома (заморожены оказались 1,5 тыс. сделок), отправлять администрации электронные письма. По счастью, служба 911 и другие экстренные системы остались незатронуты атакой.

    Как выяснили СМИ, вымогатели потребовали выкуп в 13 BTC. По получении денег преступники пообещали удалить со своих серверов конфиденциальные данные, включая IP-адреса и ключи шифрования. «Нам очень важна ваша приватность», — говорится в сообщении злоумышленников.

    По мнению экспертов ИБ, атака не имела направленный характер — операторы зловреда наткнулись на балтиморскую администрацию при сканировании Интернета. Текст требования о выкупе практически совпадает с другими подобными записками, которые были обнаружены после атак RobbinHood.

    Справка: шифровальщик RobbinHood
    Первые атаки зафиксированы в апреле 2019 года. Распространяется через спам, уязвимые подключения удаленного доступа и с помощью дропперов. Шифрует данные с применением RSA-4096.

    В отличие от многих других вымогателей, не распространяется по инфраструктуре по сетевым подключениям. Попав на компьютер, отключает более 180 сервисов и служб — антивирусы, базы данных, почтовые системы и прочие программы, которые могут помешать шифрованию. После этого блокирует сетевой доступ к машине.

    Перед началом работы RobbinHood проверяет наличие публичного RSA-ключа в папке C:\Windows\Temp. При обнаружении начинает шифрование данных, создавая для каждого файла собственный AES-ключ. Этот ключ и оригинальное наименование файла далее шифруются публичным RSA-ключом, который добавляется к заблокированному файлу.


    В первые дни после атаки ФБР запретило разглашать какую-либо информацию о расследовании — содержание записки попало в СМИ после утечки. О том, что преступники воспользовались знаменитым эксплойтом EternalBlue из арсенала Агентства национальной безопасности США, стало известно из недавней пресс-конференции мэра города Бернарда Янга (Bernard Young). На мероприятии он подтвердил, что власти не планируют платить выкуп, хотя финальное решение администрация пока не приняла. Информационные системы остаются заблокированными, IT-специалисты разработали новые оффлайн-средства для обеспечения ключевых процессов.

    Это позволило журналистам поехидствовать о том, как американские граждане, уже давшие АНБ деньги на создание EternalBlue, теперь оплачивают и ликвидацию последствий. В самом деле, в последние годы уже несколько городов США пострадали от подобных атак. Причиной тому устаревшая IT-инфраструктура и недостаток квалифицированных специалистов в штате, способных вовремя установить поступающие патчи.

    В результате город Аллентаун потерял в 2018 году миллион долларов и был вынужден искать еще сотни тысяч долларов на новые системы безопасности. В Атланте ущерб и вовсе приблизился к $20 млн, заставив общественность задуматься, не стоило ли заплатить преступникам требуемые $52 тыс. На уступки злоумышленникам пошли власти округа Джорджия, которые отправили вымогателям рекордные для США $400 тысяч.

    Всего же за последние шесть лет аналитики насчитали почти 170 случаев вымогательских атак на американские города. Это далеко не полная цифра, т.к. в публичный доступ попадает малая толика подобных инцидентов. Как минимум в 70% администрация отказалась платить выкуп, в 17% — поддалась преступникам, исход остальных историй остается неизвестным.

    Тем временем исследователи ESET говорят, что спустя два года после появления EternalBlue поиски уязвимых перед этим эксплойтом хостов только растут в объеме. Даже с учетом проверок, которые организуют сами ИБ-специалисты, эта активность говорит о продолжающемся развитии угрозы.
    Поделиться публикацией

    Комментарии 5

      +1
      «Нам очень важна ваша приватность», — говорится в сообщении злоумышленников.

      Звучит как издевательство.
      На уступки злоумышленникам пошли власти округа Джорджия, которые отправили вымогателям рекордные для США $400 тысяч.

      Я так понимаю, все данные им вернули, по причине того, что беспределом заниматься невыгодно для поддержки мнения, что «простое решение» выгодно.
        –1
        Мне вот интересно, почему страдают только американские города, или есть истории из других стран?
          +2
          в исследовании из последнего абзаца есть информация, что в США сейчас больше всего уязвимых перед EternalBlue компьютеров. Причём, намного больше:



          Плюс, геополитический фактор. Например, атаки на Атланту, Джорджию и ещё пяток локаций организовала одна и та же парочка иранцев. Можно представить, что они питают к США особые чувства.

          Если говорить про Россию, то у нас меньше ожидаемая платёжеспособность, плюс меньше хостов в принципе торчат в Интернет.
            0
            Я ожидал, что должны быть случаи и в других странах, но вы даёте ответ и на не высказанный вопрос о том, почему перекос в сторону США. Спасибо за развёрнутый ответ.
            Касательно «геополитического фактора» и про этих двух иранцев, то не ясно — то ли они просто выходцы из Ирана, живущие в США и решившие срубить бабла, то ли глубоко законспированые агенты, то ли атаки были организованы ими с территории Ирана. «Фактор» всё же больше зависит от обстоятельств, а не только от этнической принадлежности.
            0
            Ну, попробуйте заблокировать что-то в условных чебоксарах, и попросить там выкуп в размере 400К )))))

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое