Atlantic.Net fornisce questo avviso di sicurezza come notizia. Vogliamo rassicurare i nostri clienti sul fatto che Atlantic.Net non utilizza nessuno di questi prodotti interessati da questo exploit internamente o in nessuna delle nostre offerte di servizi.
Stanno circolando notizie su un audace attacco ransomware del criminale informatico che sfrutta i server interni del dipartimento di polizia di Washington DC. Screenshot dei file server interni del dipartimento sono stati caricati sul sito ransomware Babuk Locker e pubblicati su darknet il 26 aprile 2021.
Il Dipartimento di Polizia Metropolitana (MPD) governa la città di Washington DC. Sono una forza di polizia di alto profilo che controlla più sedi governative. Di recente sono stati chiamati a proteggersi dall'assalto del 6 gennaio 2021 al Campidoglio degli Stati Uniti. Le emittenti statunitensi hanno ipotizzato che l'MPD fosse preso di mira per questi motivi.
Cosa sappiamo della violazione dei dati?
Gli hacker hanno ottenuto l'accesso non autorizzato ai computer MPD e hanno scaricato oltre 250 GB di file altamente sensibili e non crittografati. Questo faceva parte di un attacco informatico avanzato in cui i server della polizia sono stati infiltrati intorno al 19 aprile 2021.
La banda di ransomware afferma sul proprio sito Web che i dati scaricati includono informazioni su informatori della polizia, bande di strada DC e informazioni sensibili sugli agenti di polizia in servizio. Un MPD ha confermato la violazione il 27 aprile, il portavoce Sean Hickman ha dichiarato:"Siamo a conoscenza di accessi non autorizzati al nostro server".
Successivamente è stato riferito che l'MPD sta lavorando con l'FBI per contrastare questa grave minaccia in corso. Si ritiene che l'attacco sia motivato finanziariamente. In precedenti attacchi informatici di Babuk hanno pubblicato riscatti sul loro sito Web, ma non si sa a cosa sia stato fissato il riscatto per l'MPD. Babuk ha concesso all'MPD 3 giorni per rispondere al riscatto o inizieranno a rilasciare informazioni sensibili.
Il ransomware Babuk e il gruppo stesso sono relativamente nuovi sulla scena, e sono stati alla nostra attenzione per la prima volta nel gennaio 2021. È noto che sono stati coinvolti in almeno 5 violazioni dei dati di grandi imprese, tra cui la società britannica Serco Group PLC, un governo del Regno Unito società di servizi.
McAfee ha completato un'analisi tecnica approfondita del ransomware Babuk. Per riassumere, il malware elimina le copie shadow di un server, in modo simile ai backup del sistema locale. I file vengono crittografati con una chiave utilizzando l'algoritmo ChaCha estremamente potente, rendendo la chiave impossibile da decifrare.
Quali sono le probabili cause della violazione?
Stiamo ancora imparando esattamente come è stato preso di mira l'MPD, poiché i dettagli sono scarsi sul campo. Se prendiamo in considerazione i precedenti attacchi ransomware Babuk, è molto probabile che si tratti di uno dei seguenti:
- Email Spear Phishing – una campagna di phishing è solitamente la prima causa di violazione dei dati. Gli hacker interagiscono con il personale in prima linea per ottenere la loro fiducia o ingannarli per scaricare un allegato malware da un'e-mail. Una volta scaricato, un payload malware viene eseguito utilizzando vari livelli di sofisticatezza per compromettere la rete della vittima.
- Applicazione utilizzabile per il pubblico – potrebbe trattarsi di qualsiasi applicazione, sito Web o URL esposto alla rete Internet pubblica. Ogni applicazione può essere potenzialmente sfruttata; ecco perché le patch e gli aggiornamenti di sicurezza sono così importanti.
- Attacco al desktop remoto – un altro vettore di attacco collaudato sono gli attacchi RDP di forza bruta su endpoint vulnerabili. Se un'azienda ha connessioni desktop remote rivolte verso l'esterno, tutto ciò che si frappone tra l'hacker e il server è un nome utente e una password. Se la connessione RDP è protetta con credenziali deboli, queste possono essere intuite in tempi relativamente brevi da strumenti di hacking.
- Data Mining/Keylogging/Infostealer – un'altra possibilità e, sebbene meno probabile, le credenziali potrebbero essere state trovate nel repository di codice online MPD o un terminale potrebbe essere stato compromesso per rubare le credenziali ai computer della polizia.
Cosa succede dopo?
Finora l'MPD è rimasto in silenzio, confermando solo la violazione ma senza commentare il contenuto presumibilmente rubato dai server dell'MPD. Attualmente sembra che si sia in attesa della scadenza del termine di 3 giorni concesso al MPD. È improbabile che l'MPD paghi il riscatto e il consiglio dell'FBI di solito è di non pagare il riscatto, ma data la sensibilità potenzialmente estrema dei dati compromessi, in particolare un possibile elenco di informatori della polizia, Atlantic.Net terrà d'occhio come va la situazione.
Se la tua azienda è preoccupata per la sicurezza informatica, non esitare a contattare Atlantic.Net. Siamo specialisti in servizi gestiti, hosting cloud dedicato e conformità HIPAA. La sicurezza della nostra infrastruttura è di fondamentale importanza e lavoriamo duramente per assicurarci di disporre dei migliori processi di sicurezza in atto.