Vi støtter nettlesere, ikke dinosaurer. Oppdater nettleseren hvis du vil se innholdet på dette nettstedet riktig.

Er du ikke sikker på hvilken løsning som passer best for bedriften?
Kasusstudie

Atlanta by løsepengevirus-angrep

Byen Atlanta i Georgia er hjemstedet for et av de mest katastrofale løsepengevirus-angrepene i USA til dags dato. Angrepet forårsaket betydelige forstyrrelser i mars 2018, og rammet byens utdaterte IT-infrastruktur, påvirket offentlige tjenester og førte til flere strømbrudd over hele byen.
Denne artikkelen ser på hvordan løsepengevirus-angrepet skjedde, konsekvensene av angrepet og hva bedrifter kan lære av hendelsen for å forbedre nettsikkerheten.

Beskytt bedriften mot løsepengevirus med Avast Business Server Antivirus

Når fant angrepet i byen Atlanta sted?

22. mars 2018 identifiserte byen Atlanta at operativsystemene og sikkerhetstjenestene hadde blitt offer for et løsepengevirus-angrep. Noen registre fra byen Atlanta gikk også tapt under datainnbruddet, og mange offentlige ansatte måtte lage papirkopier av dokumenter.

Hva skjedde?

Før angrepet, viste det seg at byen Atlanta hadde en svekket IT-infrastruktur, noe som gjør den stadig mer sårbar for et potensielt nettangrep. En revisjonsrapport, datert januar 2018, fant at:

  • Byens styringssystem for informasjonssikkerhet (ISMS) innlemmet “manglende eller utdaterte retningslinjer, prosedyrer og veiledningsdokumenter”
  • Opptil 1.500-2.000 alvorlige sårbarheter var til stede
  • Nærmere 100 offentlige servere brukte utdatert programvare
  • Det var en “mangel på formelle prosesser for å identifisere, vurdere og redusere risiko”

Mangel på robuste sikkerhetsprotokoller, sammen med ansattes likegyldighet angående nettsikkerhet, skapte det perfekte miljøet for et nettangrep. 22. mars ble Department of Atlanta Information Management varslet om forstyrrelser på tvers av flere interne- og kundeapplikasjoner, “inkludert noen applikasjoner kunder bruker til å betale regninger eller få tilgang til rettsrelatert informasjon.”

Ved å infisere offentlige Wi-Fi-systemer, inkludert flyplassens Wi-Fi, samt byens kommunale systemer, og nettverk, påvirket løsepengevirus-angrepet borgernes evne til å få tilgang til konfidensielle eller sensitive data, bruke kunderettede applikasjoner, fullføre økonomiske transaksjoner og betale regninger på nett. Opptil en tredjedel av lokale applikasjoner ble også kryptert, noe som gjorde systemer, filer og dokumenter utilgjengelige. For å holde tritt med denne plutselige forstyrrelsen, måtte bedrifter gå tilbake til håndskrevne notater og journaler.

Identifisert som et løsepengevirus-angrep, tilsynelatende SamSam ransomware, ble offentlige ansatte som forsøkte å få tilgang til berørte systemer og nettverk bedt om å betale opptil $ 50 000 i Bitcoin for å få den private nøkkelen som ville fjerne viruset og gi tilgang til applikasjonene.

Hva er SamSam?

SamSam ransomware er en type skadelig programvare som overvåker nettverksaktiviteter for å få ytterligere informasjon om pågående operasjoner og vurdere potensielle sårbarheter. Dette er i motsetning til andre kjente løsepengevirus, som WannaCry og Petya, som angriper umiddelbart ved brudd på de målrettede nettverkene. SamSam opptrer som en dårlige skuespiller og går dypere inn i nettverket for å sikre maksimal skade og enorme løsepenger. Det fjerner også eksisterende sikkerhetskopier som kan brukes til å motvirke angrepet.

Hackere kan manuelt få tilgang til utdaterte nettverksservere og systemdata ved å:

Når de har kommet inn i nettverket, kan en hacker få administrativ autorisasjon og privilegier, slik at de kan implementere ekstra skadelig programvare uten å bli oppdaget og deaktivere sikkerhetsverktøy, for eksempel tofaktorautentisering, for å unngå å bli oppdaget.

SamSam ransomware er unik, da den krypterer data, filer og servere, men også alle grunnleggende elementer og applikasjoner som kan hjelpe til med å starte maskinvare på nytt. Dette gjør gjenoppretting av data til en vanskelig langsom prosess. Oppretting av filer og kryptering av dem med unike AES-nøkler (Advanced Encryption Standard) og offentlige RSA-nøkler vil gjøre det umulig å få tilgang til filer og vil garantere at løsepenger må betales for at filene skal dekrypteres.

Når nettkriminelle fullfører operasjonen, blir det fremsatt et løsepengekrav, som ber om betaling gjennom Tor et nettsted med åpen kildekode. Når betalingen er fullført, mottas en kryptografisk nøkkel som gjør at nettverket kan dekrypteres.

Hvordan svarte byen på angrepet?

Det er uklart om Atlantas lokale myndigheter betalte løsepengene, men den totale økonomiske påvirkningen av løsepengevirus-angrepet var uten sidestykke. Etter forespørselen om en betaling på $50 000 i Bitcoin, fjernet hackere siden slik at en betaling kunne utføres, noe som førte til at byen implementerte nødtiltak for å håndtere situasjonen.

Hva var konsekvensene av Atlanta løsepengevirus-angrepet?

Atlanta brukte over 2.6 millioner dollar i nødkontrakter for å stopp effekten av SamSam ransomware-angrepet samt gjenopprette datasystemer og tjenester. Dataangrepet rammet fem av byens 13 lokale myndigheter i fem dager. Denne regningen besto av hendelses- og responstjenester fra Edelman til en kostnad på 50 000 dollar, bemanningskostnader ved Atlanta Information Management (AIM), ekspertise fra det private firmaet Secureworks og eksperter fra offentlig sektor Cisco og Microsoft Cloud for å bringe systemene tilbake på nett.

Systemer som ble berørt i Atlantas løsepengevirus-angrep mellom 22. mars og 2. april inkluderte Atlantas kommunale domstol, betalingstjenester og parkeringstjenester, som alle måtte gå tilbake til manuell behandling. Disse inkluderte nettbaserte og fysiske betalingssystemer for grunnleggende tjenester, for eksempel vannregninger.

Viktige transportfasiliteter som forble upåvirket inkluderte Hartsfield-Jackson Atlanta internasjonale flyplass, som deaktiverte sitt offentlige Wi-Fi-nettverk etter råd fra FBI, Secret Service og Department of Homeland Security. I motsetning til ransomware-angrepet på britiske sykehus som betydelig rammet oppdragskritiske tjenester, som brann, politi og helsetjenester, ble Atlantas helsetjenester ikke direkte berørt.

Fem dager etter angrepet lanserte byen Atlanta en informasjonssenter for oppdateringer, og informerte ansatte og innbyggere om at de kunne slå på datamaskinene sine igjen, men at et stort antall tjenester fremdeles var utilgjengelige. Selv om enkelte tjenester ble operative for ansatte umiddelbart, som e-post, Oracle og Accela, var det andre tjenester som forble utilgjengelige, slik som ATL-flyplassens offentlige Wi-Fi, nettbasert betaling av vannregninger (ikke operativt før i mai) og domstolens nettbaserte betalingsalternativ (ikke operativt før i juni). Enkelte tjenester og data forble imidlertid permanent slettet, inkludert flere juridiske dokumenter og politiets videofiler.

Etter angrepet uttalte ordføreren i Atlanta, Keisha Lance Bottoms, og flere ledere på C-nivå at ingen borgerdata hadde blitt kompromittert, og at nettsikkerhet ville få hovedfokus i de lokale myndighetenes politikk fremover. Byen utnevnte sin nye Chief Information Officer, Gary Brantley, i september 2018, sammen med en ny Chief Operations Officer og direktør for beredskap i juni året etter.

I desember 2018, kunngjorde det amerikanske justisdepartementet at en føderal storjury i Atlanta siktet to iranske statsborgere for det sofistikerte løsepengevirus-angrepet som infiserte rundt 3.789 datamaskiner tilhørende byen Atlanta, inkludert servere og arbeidsstasjoner. Lokale myndigheter erkjente at angrepet hadde “påvirket Atlantas systemer i stor grad, svekket visse myndighets-funksjoner og forårsaket betydelige utgifter i de kommende ukene og månedene. Til dags dato har angrepet påført millioner av dollar i tap.»

Hva kan læres av ransomware-angrepet i Atlanta?

Løsepengevirus-angrepet i Atlanta var ikke en isolert hendelse – slike angrep fortsetter å utvikle seg og vokse i størrelse og blir mer sofistikerte, og det er viktig for offentlige og private virksomheter å implementere robuste nettsikkerhetsprosesser.

Som følge av svekket eller utdatert sikkerhetsprogramvare og IT-praksis, kan hackere utnytte potensielle sårbarheter på tvers av forretningsnettverk og holde data og tjenester mot løsepenger til en betaling er utført. Et annet eksempel på et høyprofilert angrep er ransomware-hendelsen i Baltimore i 2019, der nettkriminelle infiserte offentlige systemer og servere med løsepengevirus på grunn av utilstrekkelige og utdaterte nettsikkerhetsprotokoller.

Mens noen bedrifter velger å betale løsepenger, er det ingen garanti for at hackere vil tilby ransomware-dekrypterings-verktøyene for å gjenopprette krypterte systemer og tjenester. Siden løsepengevirus er en kontinuerlig trussel mot bedrifter, er det viktig å forhindre og beskytte nettverket ditt ved å introdusere en effektiv plan for katastrofe-gjenoppretting og investere i robuste sikkerhetsverktøy.

La Avast beskytte bedriften mot angrep med løsepengevirus

Etter hvert som bedriften vokser, vil antallet enheter som er koblet til nettverket ditt også øke, noe som fører til økt risiko og sårbarhet. Bruk av beskyttelses-verktøy mot løsepengevirus som server-antivirus vil tilby et ekstra lag med beskyttelse ved å forhindre, oppdage og fjerne trusler.

Lukk

Nesten ferdig!

Fullfør installasjonen ved å klikke på den nedlastede filen og følge veiledningen på skjermen.

Starter nedlasting …
Merk: Hvis nedlastingen ikke startet automatisk, klikker du her.
Klikk på denne filen for å starte installasjonen av Avast.