تكبير / Ransomware استغرق نظام بالتيمور 911 حاليا في مارس اذار 24 و 25 حيث عمل قسم تكنولوجيا المعلومات في المدينة لعزل واستعادة شبكة الإرسال بمساعدة الكمبيوتر. كيم Hairston / بالتيمور الشمس / TNS عبر غيتي إيماجز
يوم الجمعة الماضي ، تعرضت مدينة أتلانتا لضربة فدية الهجوم الذي استغرق الكثير من الخدمات الداخلية والخارجية في المدينة غير متصل على الانترنت. اعتبارا من اليوم ، تم استعادة العديد من هذه الخدمات ، لكن اثنين من البوابات العامة لا تزال حاليا شبكة الإرسال الآلي لنظام بالتيمور 911 كان أيضا اتخذت حاليا من قبل هجوم فدية واضح. والامس منشأة Boeing’s Charleston —التي تقوم بتصنيع مكوناتها بوينغ 777 وغيرها من الطائرات التجارية ، وللسلاح الجوي KC-46 tanker – صدمت بما قيل في البداية إنه WannaCry البرامج الضارة.
في حين أنه ليس من الواضح في هذه المرحلة ما إذا كانت هذه الهجمات مرتبطة في أي حال ، ضعف كل من الشركات والحكومة وكالات – وخاصة الحكومات المحلية – لهذه الأنواع من الهجمات تم إظهاره بشكل مستمر خلال السنوات القليلة الماضية. حتى كما انتقلت المنظمات للتعامل مع نقاط الضعف التي كانت استغلالها في الموجات الأولى من رانسومواري ورانسومواري يشبهه الهجمات ، قام المهاجمون بتعديل أساليبهم لإيجاد طرق جديدة في الشبكات ، واستغلال الفجوات حتى عابرة في الدفاعات لكسب موطئ قدم مدمر.
بالتيمور 911 عطلة نهاية الأسبوع في حالات الطوارئ
في حالة نظام بالتيمور 911 ، نوع الفدية الهجوم ليس واضحا بعد ، ولكن نظم المعلومات العليا في المدينة أكد المسؤول أن إرسال بالتيمور بمساعدة الكمبيوتر (CAD) تم اتخاذ النظام حاليا عن طريق الفدية. في بيان أرسل بالبريد الإلكتروني إلى آرس تكنيكا ، مدير المعلومات والتيمور بالتيمور قال الضابط فرانك جونسون أن شبكة CAD قد أغلقت عطلة نهاية الأسبوع “بسبب الجناة” الفدية “والتي في المدينة تمكن فريق تقنية المعلومات من “عزل الاختراق عن شبكة CAD نفسها”. الأنظمة المتصلة بشبكة CAD ، بما في ذلك الأنظمة في إدارة شرطة مدينة بالتيمور ، تم نقلها حاليا لمنع انتشار الفدية.
“بمجرد فحص جميع الأنظمة بشكل صحيح ، أعيد CAD وقال جونسون على الإنترنت: “لا توجد بيانات شخصية لأي مواطن للخطر في هذا الهجوم. تواصل المدينة العمل مع الشركاء الفيدراليين لتحديد مصدر التسلل “.
في حين أن النوع الدقيق للفدية في هجوم بالتيمور له لم يتم الكشف عنها ، وكانت نقطة الدخول جزئيا على الأقل التي تم تحديدها. وقال جونسون أن معلومات بالتيمور سيتي وقد قرر مكتب التكنولوجيا “أن الضعف كان نتيجة لتغيير داخلي لجدار الحماية بواسطة فني تم استكشاف مشكلة اتصال غير مرتبطة داخل CAD النظام.”
كان تغيير جدار الحماية على ما يبدو قبل أربع ساعات فقط استغلها المهاجمون. ومن المرجح أن الفجوة التي حددها المهاجم من خلال المسح الآلي. لكن مدينة بالتيمور وقال المتحدث باسم أنه لا يمكن تقاسم مزيد من التفاصيل في حين أن كان التحقيق جاريا.
أسبوع أتلانتا من الفدية
في حالة أتلانتا ، لم يتم الكشف عن وسائل الوصول ، ولكن تم تحديد نوع الهجوم: رسالة الفدية يطابق سمسام ، سلالة من البرمجيات الخبيثة التي تم رصدها لأول مرة في عام 2015. طالب المهاجمون وراء الفدية بقيمة 51000 دولار بيتكوين لتوفير مفاتيح التشفير لجميع المتضررين الأنظمة.
وفقا لمسؤولي أتلانتا ، أتلانتا إدارة المعلومات (الهدف) أصبح أول من علم بالهجوم “يوم الخميس 22 مارس في 5:40 صباحا ، والتي أثرت على مختلف الداخلية والتي تواجه العملاء التطبيقات التي تستخدم لدفع الفواتير أو الوصول إلى المحكمة ذات الصلة معلومات.”
نظام دفع الفواتير ، والذي يستخدم Capricorn — وهو مستند إلى Java بوابة الخدمة الذاتية من SilverBlaze ومقرها أونتاريو – لا تزال غير متصلة بالإنترنت. نظام الدفع للمحكمة ودفع التذاكر جزئياً احتياطيًا ، لكن نظام يستند إلى Windows Internet Information Server للوصول إلى معلومات القضية لا يزال معطلا. بعض النظم الداخلية تم استعادة ، وفقا لبيان صادر عن رئيس بلدية مكتب اتلانتا للاتصالات.
تحليل نظم مدينة أتلانتا والهجوم السابق ناقلات Samsam تشير إلى اثنين من نقاط الدخول المحتملة ، على حد سواء المرتبطة بالأنظمة التي تواجه الجمهور حاليا غير متصل على الانترنت. هجمات Samsam في عام 2016 وأوائل عام 2017 ، مثل تلك التي وقعت في بالتيمور مستشفى الاتحاد التذكاري ، ونقاط الضعف في الاستفادة منها منصات مفتوحة المصدر جافا. ولكن وفقا لتقرير من ديل Secureworks ، تحولت الهجمات الأخيرة إلى القوة الغاشمة هجمات كلمة المرور للوصول إلى بروتوكول سطح المكتب البعيد الخادم ، ثم تنفيذ البرامج النصية PowerShell التي تثبت أدوات حصاد كلمات المرور والفدية نفسها.
استنادا إلى بيانات من Shodan ، بوابة الجدي للدفع تستخدم فواتير مياه أتلانتا أباتشي تومكات ، وواحدة من الملاعب نظم المعلومات لديها منفذ RDP مفتوح ، وكذلك خادم رسالة كتلة (SMB) الشبكات مرئية من الإنترنت العامة. أتلانتا انتقلت الكثير من بقية أنظمة المحاكم في المدينة سحابة مايكروسوفت أزور.
بينما شخص واحد يدعي بعض المعرفة من أتلانتا هجوم الفدية يعتقد تورط خادم الجدي ، نفى شريك مؤسس SilverBlaze دان ماير بشدة أن تم اختراق برنامج الشركة في هجوم أتلانتا ، قائلًا ببساطة ، “بكل احترام ، معلوماتك غير صحيحة.”
بعد صورة توضح عنوان الويب الخاص بصفحة الفدية تسربت إصابة أتلانتا سامسم ، كما أفاد ستيف راجان من منظمات المجتمع المدني ، تم إغلاق الصفحة من قبل المهاجمين.
بوينج هناك
الحالة في شركة بوينغ أقل وضوحًا والأرجح أن تكون كذلك تبقى بهذه الطريقة. وفقًا لبيان صادر عن شركة بوينغ نائب رئيس الاتصالات التجارية ليندا ميلز ، اكتشف مركز عمليات الأمن السيبراني لبوينج “محدودا اقتحام البرامج الضارة التي أثرت على عدد صغير من النظم. ” وقال ميلز أن “تم تطبيق العلاجات ، وهذا ليس قضية الإنتاج والتسليم “- يعني ذلك أن التصنيع لم يكن كذلك توقف بشكل كبير. وقال ميلز لصحيفة سياتل تايمز أن الحادث “كان يقتصر على عدد قليل من الآلات. نشرنا البرمجيات بقع. لم يكن هناك انقطاع لبرنامج طائرة 777 أو أي من برامجنا “.
لم تكن هذه هي الطريقة التي نظرت بها رسائل البريد الإلكتروني في سياتل تايمز دومينيك غيتس تميزت الحلقة في البداية. رسالة من رئيس شركة بوينج لإنتاج الطائرات التجارية المهندس مايك فاندرويل حذر من أن البرمجيات الخبيثة “تنتشر بسرعة من الشمال تشارلستون ، وسمعت للتو 777 [أدوات التجميع التلقائي لـ spar] ربما سقطت “. ولكن يبدو أن تلك المخاوف كانت مبالغ فيها.
البرامج الضارة المعنية من غير المرجح أن تكون WannaCry الأصلي ، التي ضربت أجهزة الكمبيوتر في جميع أنحاء العالم في مايو الماضي. WannaCry — أي الولايات المتحدة أعلنت الحكومة رسميا مؤخرا أطلقت من قبل الشمال كوريا- استفادت من Eternalblue ، وهو استغلال طورته شركة NSA لصالح شركة Microsoft SMB و Windows NetBIOS عبر بروتوكولات TCP / IP (NBT) ، لتحديد أهداف جديدة وانتشرت نفسها عبر الشبكات. ومع ذلك ، قد يكون لها كان نسخة جديدة باستخدام نفس استغلال. بدلا من ذلك ، يمكن لقد كان ذلك النظام الذي سبق أن أصيب بفيروس WannaCry تم إعادة تشغيله في شبكة حيث لم يتمكن من الوصول إلى مجموعة المجال باسم “مفتاح قتل” البرمجيات الخبيثة وبدأت في الانتشار مرة أخرى.
مهما كانت البرمجيات الخبيثة في بوينغ ، يبدو أنها كانت كذلك تم الكشف عنها وتوقفت بسرعة. السؤال الأكبر – كيف وصلت إليه في البداية ، لن يتم الكشف عن مصنع بوينغ في تشارلستون في أي وقت قريبا.
وفي الوقت نفسه ، خدمة دنفر لتحويل النص إلى 911 كانت معطلة بين عشية وضحاها ، جنبا إلى جنب مع 311 وغيرها من الخدمات المستندة إلى الإنترنت. سوف آرس تحديث هذه القصة إذا كانت تلك انقطاع انتزاع الفدية ذات الصلة.
