Fallout da attacco informatico sui computer di Atlanta ancora poco chiaro (Aggiornamento)

Più di 24 ore dopo la scoperta di un attacco informatico ransomware contro la rete informatica della città di Atlanta, la ricaduta non era ancora chiara.

I funzionari della città di Atlanta hanno annunciato giovedì pomeriggio che il team di sicurezza delle informazioni della città aveva notato "qualcosa che sembrava strano" sul server verso le 5:40 di quel giorno e aveva iniziato un'indagine. Alcuni dati della città sono stati crittografati, essenzialmente tenuto in ostaggio dagli aggressori.

L'attacco ha causato un'interruzione di alcune applicazioni interne e rivolte ai clienti, compresi quelli utilizzati per pagare le bollette e accedere alle informazioni giudiziarie, L'amministratore delegato della città, Richard Cox, ha detto ai giornalisti in una conferenza stampa giovedì. Ma non ha influito sul dipartimento di pubblica sicurezza, dipartimento dell'acqua o aeroporto internazionale Hartsfield-Jackson di Atlanta, Egli ha detto.

L'aeroporto ha interrotto la sua rete Wi-Fi e i sistemi che forniscono informazioni sui voli e tempi di attesa ai controlli di sicurezza sul suo sito web "per abbondanza di cautela, Il portavoce Reese McCranie ha detto in un'intervista telefonica venerdì.

"Non vogliamo aprire l'aeroporto a qualsiasi possibile attacco informatico, " Egli ha detto, aggiungendo che il personale tecnologico dell'aeroporto stava lavorando per rafforzare la sua infrastruttura per assicurarsi che non fosse vulnerabile.

Un portavoce della città ha detto venerdì che non sono disponibili nuove informazioni.

Non è stato immediatamente chiaro se le informazioni personali fossero state compromesse, ma il sindaco Keisha Lance Bottoms ha esortato i dipendenti della città, residenti e altri i cui dati potrebbero trovarsi nel sistema cittadino per monitorare i propri conti bancari e adottare misure proattive per proteggere i propri dati personali.

La città sta lavorando con le agenzie federali, tra cui l'FBI e il Dipartimento per la sicurezza interna, così come i partner del settore privato, per fissare il problema, Bottoms ha detto.

Marco Raggi, un ex investigatore della sicurezza informatica dell'FBI che ora è amministratore delegato e capo delle indagini digitali per Nardello &Co., ha detto che gli obiettivi primari dell'agenzia sono fermare un attacco e scoprire chi è il responsabile.

Il primo passo dell'agenzia sarebbe quello di fornire consigli pratici come isolare i sistemi interessati, preservare e proteggere i sistemi non interessati portandoli offline, oltre a garantire che i backup siano preservati e protetti. Prossimo, l'FBI vorrebbe ottenere un campione del ransomware perché potrebbe già avere informazioni su quel particolare malware che potrebbe aiutare a fermarlo o potrebbe avere una chiave di decrittazione da un attacco precedente.

Quando è stato chiesto giovedì se la città avrebbe pagato il riscatto richiesto, il sindaco ha detto che la città cercherà indicazioni dalle autorità federali sulla migliore linea d'azione.

L'FBI non sosterrà mai il pagamento di un riscatto, ha detto Ray. Ci sono una serie di ragioni per questo, tra cui:non c'è alcuna garanzia che il proprietario del ransomware fornisca effettivamente la decrittazione dopo essere stato pagato, la disponibilità a pagare di un'organizzazione può renderla un bersaglio per attacchi futuri, e a volte il pagamento comporta lo sblocco di una parte di un sistema, ma poi viene richiesto più denaro per sbloccare una parte maggiore del sistema.

Ma se un'organizzazione sceglie di non pagare il riscatto e non esiste una chiave di decrittazione prontamente disponibile, "l'alternativa è letteralmente, per tagliare e bruciare gli ambienti che sono stati infettati, " Ray ha detto. "Ecco dove i buoni backup sono fondamentali."

Il ransomware sfrutta le vulnerabilità note del software, e spesso le organizzazioni vittime di tali attacchi non hanno svolto un lavoro completo di patching dei sistemi regolarmente, Egli ha detto.

I comuni spesso hanno difficoltà con gli aggiornamenti software di base e le patch perché sono spesso a corto di risorse, disse Ryan Kalember, vicepresidente senior della strategia di sicurezza informatica presso la società di sicurezza Proofpoint.

L'attacco di Atlanta porta i segni distintivi del ransomware SamSam, e quello che probabilmente il team di sicurezza delle informazioni della città ha visto è stato qualcosa che cercava di accedere dall'esterno dell'organizzazione, Egli ha detto.

A differenza della maggior parte dei ransomware, che accede a una rete quando qualcuno fa clic sul collegamento in un'e-mail di phishing, SamSam cerca indiscriminatamente in Internet i server vulnerabili, ha detto Kalember. Una volta trovato un punto d'appoggio, spesso sfruttando una password debole o che non viene cambiata spesso, entra in un sistema e inizia a diffondersi.

Se è SamSam, potrebbe esserci una buona notizia perché in genere crittografa le informazioni sul posto e richiede un riscatto per ripristinare l'accesso piuttosto che rubare le informazioni, ha detto Kalember.

"È un campanello d'allarme e alla fine non è così dannoso, quindi c'è un chiaro rivestimento d'argento per i comuni" perché potrebbe motivare la città a mettere risorse e volontà politica per rendere più sicure le sue reti, Egli ha detto.

Apple sta per diventare il più grande investitore al mondo in ricerca e sviluppo

Riutilizzare i tralicci elettrici per progettare il tetto di una stazione ferroviaria

Elettronica