La infección por BitPaymer Ransomware obliga a ciudad de Alaska a usar máquinas de escribir por una semana.

ransomware

El lunes, funcionarios de Matanuska-Susitna (Mat-Su), un barrio del Área Estadística Metropolitana de Anchorage, dijeron que aún se están recuperando de una infección de ransomware que tuvo lugar la semana pasada, el 24 de julio.

La infección ransomware paralizó las redes del gobierno del condado y ha llevado al personal de TI a cerrar una gran franja de sistemas de TI afectados.

"El martes pasado, 24 de julio, los primeros servidores del municipio se desconectaron entre sí, luego se desconectaron de Internet, ya que reconocieron que estaban bajo ciberataque", dijo Patty Sullivan, directora de asuntos públicos de Mat-Su.

"Desde entonces, la infraestructura se reconstruye de manera constante, las computadoras se limpian y devuelven, y el correo electrónico, los teléfonos y la conexión a Internet se restauran".

Mat-Su planea limpiar y reconstruir 650 PC y servidores

Las autoridades dijeron que planeaban limpiar y reinstalar 650 computadoras de escritorio y servidores ubicados en las partes de la red Mat-Su que se cree están afectadas.

"Se está construyendo una red nueva y limpia", dijo Sullivan el viernes pasado. Para el lunes, los funcionarios de Mat-Su lograron limpiar y regresar al servicio 110 de las estaciones de trabajo de los empleados.

El servidor del teléfono fue reconstruido el domingo por la noche y algunos teléfonos Mat-Su comenzaron a funcionar nuevamente el lunes. El servidor de correo Mat-Su aún está siendo reconstruido, dijeron el lunes funcionarios. Sullivan dijo que 20 agencias diferentes y vendedores del sector privado ayudaron al gobierno a reconstruir su infraestructura de TI la semana pasada, durante el fin de semana.

Los datos de la tarjeta de pago se consideraron seguros porque se almacenaron con proveedores externos y no en los servidores del municipio. Los funcionarios de Mat-Su dijeron que no habían visto ninguna evidencia de que los atacantes hayan filtrado datos personales de los usuarios, algo que normalmente no ocurre en un ataque de ransomware.

El sitio web oficial de Mat-Su nunca se vio afectado, y los funcionarios mantuvieron al público informado sobre los servicios públicos afectados / que trabajan a través de su página de Facebook. El sistema de deslizamiento de tarjeta de cerradura de puerta Mat-Su también tenía sus datos encriptados, pero continuó funcionando independientemente.

"Sin computadoras ni archivos, los empleados de Borough actuaron con recursos", dijo Sullivan la semana pasada. "Reinscribieron las máquinas de escribir de los armarios y escribieron a mano recibos y listas de usuarios de libros de la biblioteca y tarifas de vertederos en algunos de los 73 edificios diferentes".

Mat-Su golpeado por "múltiples puntas, ataque de múltiples vectores"

El director de TI de Mat-Su, Eric Wyatt, se reunió con agentes del FBI el miércoles pasado para aislar e identificar el "virus" y reunir información que "ayudará en el trabajo del FBI para identificar a los criminales para su enjuiciamiento".

Wyatt llamó al virus "un ataque multidireccional y multivectorial". También lo describió como "ni un solo virus, sino múltiples aspectos de los virus, entre los que se incluyen caballo de Troya, Cryptolocker, bomba de tiempo y el interruptor del hombre muerto". Wyatt también dijo que el "virus" también buscó e intentó corromper las copias de seguridad del municipio, lo cual, dice, falló.

"Este es un ataque muy insidioso y muy bien organizado", dijo Wyatt. "No es un niño en el sótano de su madre".

En un informe PDF publicado ayer, Wyatt finalmente identificó el "virus" como el ransomware BitPaymer. Esta cepa de ransomware se detectó por primera vez en julio de 2017, y apareció por primera vez en los titulares de las noticias en agosto de 2017 cuando llegó a una serie de hospitales escoceses.

Payment

Un informe de ESET de enero de 2018 afirmó que el ransomware, también conocido como FriedEx, contenía evidencia que lo vinculaba al mismo grupo delictivo que ejecutaba la infame botnet Necurs y el troyano bancario Dridex.

BitPaymer inactivo en la red Mat-Su desde mayo

"Este ataque parece haber estado latente y / o no detectado en nuestra red desde el 3 de mayo", dijo Wyatt en el informe.

Wyatt dice que sus instalaciones antivirus de McAfee comenzaron a detectar la parte "troyano" del BitPaymer ransomware el 17 de julio.

"Esto solo se vio en las máquinas con Windows 7", dijo Wyatt. "McAfee estaba haciendo su trabajo de detección y eliminación del troyano, pero seguía pasando por alto el resto de los componentes".

"Desarrollamos un script para eliminar los componentes descubiertos que McAfee estaba dejando en todas las máquinas y planeamos lanzarlo el lunes 23 de julio por la noche. También expiramos todas las contraseñas de los usuarios para forzar cambios de contraseña y cambiar las contraseñas de todas las cuentas de administración y servicio. "Wyatt dijo.

"Esta acción, de atacar hacia atrás, pareció desencadenar que el virus lanzara el componente Crypto Locker. Este desencadenador pudo haber sido automatizado, un Interruptor del hombre muerto, o pudo haber habido una persona que monitoreaba la actividad manualmente y ejecutó su comando y control (C2 ) para lanzar el ataque ".

Wyatt dijo que el ransomware luego cifró las 500 estaciones de trabajo de escritorio Mat-Su y 120 de los 150 servidores Mat-Su. En este punto, Wyatt desconectó la red Mat-Su, notificó al FBI y comenzó la operación de reconstrucción de la red. Wyatt no dijo si pagaron rescates por ninguno de los sistemas infectados, pero dijo que se recuperaron algunos datos de las copias de seguridad.

Mat-Su es la víctima # 210

Los investigadores que ayudaron al equipo de TI de Mat-Su le dijeron a Wyatt que no muchas organizaciones han sido afectadas por esta amenaza hasta el día de hoy. Dijeron que Mat-Su Borough era la víctima número 210.

Wyatt también dijo en el informe que el gobierno Mat-Su no fue el único afectado, revelando que la ciudad de Valdez, Alaska también está lidiando con un ataque similar, que también parece ser una infección BitPaymer. Esto resultó ser cierto, de acuerdo con una declaración de los funcionarios de la ciudad de Valdez publicada en Facebook el 28 de julio, que reconoció haber lidiado con un "virus informático", aunque no especificaron que era una infección ransomware.

valdez city

Wyatt también dijo que "hay informes de que el viernes muchos otros lugares en Alaska y alrededor de los EE. UU. Fueron alcanzados". Bleeping Computer no pudo mostrar ningún otro informe similar de dominio público sobre BitPaymer u otras infecciones de ransomware con patrones similares la semana pasada.

Fairbanks North Star Borough admitió también un incidente de ransomware el miércoles pasado, pero parece no estar relacionado, ya que tuvo lugar en abril y el punto de intrusión fue un tercero responsable de la facturación de ambulancia de EMS.

ransom

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila