Ransomware-Angriff der Regierung von Atlanta - Atlanta government ransomware attack
| Datum | 22. März 2018 |
|---|---|
| Standort | Atlanta , Georgia , USA |
| Typ | Cyber Attacke |
| Thema | Ransomware verschlüsselt Dateien mit einer Nachfrage von 51.000 US-Dollar (über Bitcoin ) |
| Ursache | |
| Ergebnis | Mehrere städtische Dienste ausgefallen, einschließlich Datenbanken und WLAN Daten im Wert von Jahren zerstört Die Stadt gibt 2,7 Millionen US-Dollar für die Wiederherstellung von Diensten aus |
Die Stadt Atlanta , Georgia, war Gegenstand eines Ransomware- Angriffs, der im März 2018 begann. Die Stadt erkannte den Angriff am Donnerstag, den 22. März 2018, und räumte öffentlich ein, dass es sich um einen Ransomware- Angriff handelte.
Aufgrund der nationalen Bedeutung Atlantas als Verkehrs- und Wirtschaftszentrum erregte der Angriff große Aufmerksamkeit und war sowohl für das Ausmaß als auch die Dauer der verursachten Dienstausfälle bemerkenswert. Viele städtische Dienste und Programme waren von dem Angriff betroffen, darunter Versorgungsunternehmen, Parkplätze und Gerichtsdienste. Stadtbeamte wurden gezwungen, Papierformulare von Hand auszufüllen.
Am 26. November klagte eine Grand Jury zwei iranische Hacker, Faramarz Shahi Savandi und Mohammad Mehdi Shah Mansouri, wegen des Angriffs an. Das Justizministerium behauptete, Savandi und Mansouri seien Teil der SamSam- Gruppe; dass die SamSam-Gruppe ihren Sitz im Iran hat; und dass das Paar SamSam Ransomware erstellt hat, die Malware, die bei dem Angriff verwendet wurde. Es gibt keine Verbindungen zur iranischen Regierung.
Annäherung und Angriff
Im Vorfeld des Angriffs wurde die Regierung von Atlanta dafür kritisiert, dass sie zu wenig Geld für die Aufrüstung ihrer IT-Infrastruktur ausgibt, wodurch mehrere Schwachstellen angreifbar sind. Tatsächlich fand ein Audit im Januar 2018 1.500 bis 2.000 Schwachstellen in den Systemen der Stadt und deutete darauf hin, dass die Zahl der Schwachstellen so groß geworden war, dass die Arbeiter selbstgefällig wurden. Der Virus, mit dem die Stadt angegriffen wurde, war die SamSam Ransomware, die sich von anderer Ransomware dadurch unterscheidet, dass sie nicht auf Phishing basiert , sondern einen Brute-Force-Angriff verwendet, um schwache Passwörter zu erraten, bis eine Übereinstimmung gefunden wird. Es ist bekannt, dass es auf schwächere IT-Infrastrukturen und Server abzielt. Die Ransomware hat seit ihrer Entdeckung im Jahr 2016 eine prominente Rolle hinter Angriffen auf medizinische und staatliche Organisationen gespielt, wobei frühere Angriffe auf Ziele von Kleinstädten wie Farmington, New Mexico bis hin zum Colorado Department of Transportation und dem Erie County Medical Center reichten . Es kann auch Antivirensoftware umgehen . Obwohl bis November 2018 keine Verdächtigen identifiziert oder angeklagt wurden, wurden die SamSam-Hacker als „opportunistisch“ bezeichnet.
Am 22. März um 5:40 Uhr erfuhr das Department of Atlanta Information Management zum ersten Mal von Ausfällen bei verschiedenen internen und Kundenanwendungen „einschließlich einiger Anwendungen, die Kunden verwenden, um Rechnungen zu bezahlen oder auf gerichtsbezogene Informationen zuzugreifen“, so Richard Cox, der Interim der Stadt Chef der Operationen. Kurz darauf stellte die Stadt viele ihrer digitalen Dienste ein, um die Situation zu kontrollieren, einschließlich der Datenbank des Gerichtssystems und des WLANs am Hartsfield-Jackson Atlanta International Airport . Die Stadt identifizierte es schließlich als Ransomware-Angriff.
Nachwirkungen und Erholungsbemühungen
Dieser Hack war bemerkenswert, da er die größte erfolgreiche Sicherheitsverletzung einer amerikanischen Großstadt durch Ransomware war, von der möglicherweise bis zu 6 Millionen Menschen betroffen waren. Nach dem Angriff kooperierte die Stadt Atlanta mit dem FBI , dem Department of Homeland Security und dem Secret Service und beauftragte Sicherheitsfirmen wie SecureWorks mit der Untersuchung, und vielen Regierungscomputern wurde geraten, bis 5 Tage später ausgeschaltet zu bleiben.
Obwohl die Stadt erklärte, dass es kaum bis gar keine Beweise dafür gebe, dass personenbezogene Daten kompromittiert wurden, zeigen spätere Studien, dass die Verletzung schlimmer war als ursprünglich angenommen. Im Juni 2018 wurde geschätzt, dass ein Drittel der von der Stadt verwendeten Softwareprogramme offline oder teilweise deaktiviert blieb. Darüber hinaus wurden viele Rechtsdokumente und polizeiliche Dashcam-Videodateien dauerhaft gelöscht, obwohl die Polizeibehörde den Zugriff auf alle ihre Ermittlungsdateien wiederherstellen konnte. Für eine Weile waren die Bewohner gezwungen, ihre Rechnungen und Formulare mit Papier zu bezahlen.
Als Reaktion auf diesen Hack stellte Atlanta 2,7 Millionen US-Dollar an Auftragnehmer zur Verfügung, um sich zu erholen, schätzte jedoch später, dass es 9,5 Millionen US-Dollar benötigen würde.
Am 26. November 2018 hat das Justizministerium zwei iranische Hacker wegen des Angriffs angeklagt, Faramarz Shahi Savandi und Mohammad Mehdi Shah Mansouri seien Teil der SamSam-Gruppe und hätten SamSam Ransomware erstellt.