Част от администрацията на Аляска беше принудена да възстанови своята цифрова инфраструктура почти от нулата след атака с криптиращия вирус BitPaymer. През седмицата служителите в администрацията трябваше да използват пишещи машини, тъй като значителна част от цифровите системи бяха извън строя.
Атаката от 24 юли е направила неработоспособни 650 работни станции и сървъри в районната администрация Матануска-Суситна Боро на Анкъридж – най-големия град на Аляска. До 30 юли, с помощта на външни специалисти, са възстановени 110 работни станции, съобщи BleepingComputer.
По думите на Ерик Уайът, ИТ директор в администрацията, мрежата е атакувана от сложен злонамерен софтуер с функции на „троянец”, „криптолокър” (криптира данните и иска откуп, нарича се още рансъмуер), „бомба със закъснител” и „паник бутон”. Вредоносната програма, която Уайът нарича „вирус”, се е опитала да стигне до архивите, но безуспешно.
[related-posts]
Уайът твърди, че срещу инфраструктурата е осъществена „много хитра, добре организирана атака”. В техническия доклад, публикуван от ИТ директора, вирусът е наречен BitPaymer.
Този криптиращ софтуер, известен още като FriedEx, е забелязан за първи път през юли 2017 г. До август същата година няколко болници в Шотландия са станали негова жертва. Според компанията за сигурност ESET, има основание да се смята, че FriedEx е разработен от същата престъпна група, която създаде ботнета Necurs и банковия троянец Necurs.
Злонамереният софтуер попада в инфраструктурата на Матануска-Суситна Боро в началото на май и остава неактивен до 24 юли. Седмица по-рано, на 17 юли McAfee Anti-Virus засича „троянския кон” BitPaymer, но само на компютри с Windows 7. Всички други компоненти, включително криптиращия модул, са останали незабелязани, пише в доклада си Ерик Уайът.
„Написахме скрипт, който трябваше да премахне всички идентифицирани компоненти, които McAfee пропусна, от всички машини и планирахме да го пуснем вечерта в понеделник, 23 юли. Също така анулирахме всички потребителски пароли, стартирахме принудителна промяна на паролите и сменихме паролите на всички профили на администратори и потребители”, разказва Уайът.
Според него обаче, контраатака е провокирала вируса да стартира компонента за криптиране. „Възможно е това нововъведение да е автоматизирано – т.е., задействан е „паник бутонът”, или пък нашите действия са наблюдавани от някой друг, който е дал команда за контролния сървър за началото на атаката”, смята Уайът.
В резултат на атаката, 500 работни станции и 120 от общо 150-те сървъра на Матануски-Суситна са били поразени от криптиращия вирус. Пред Уайът не е имало друг избор освен да изключи мрежата, да се свърже с ФБР и да започне възстановяването. Част от данните са извлечени от резервните копия.
Уайът не разкрива дали на нападателите е даден откуп. Експерти, участващи в разследването на атаката, казват, че администрацията на Матануска-Суситна Боро е станала 210-тата жертва на крипто-вируса. Пострадала от BitPaymer е и администрацията на град Валдес.
2 коментара
Авторът на статията ако беше си направил трудът да прочете коя е столицата на Аляска,нямаше да пише глупости.
Този случай показва колко безсмислени и безполезни са антивирусните програми. Да не говорим, че в последните години вместо да се борят с вируси, те се занимават с шпионаж. Което натоварва допълнително компютрите и забавя работата. Много смешно ще бъде ако пак обвинят “руските хакери”…