Agensi Keselamatan Nasional A.S. (NSA) telah menafikan bahawa mana-mana alat penggodamannya digunakan oleh penjenayah siber untuk menyebarkan serangan terhadap sistem pemerintahan Baltimore.
Serangan itu telah melumpuhkan perkhidmatan bandar selama beberapa minggu sekarang ketika para pegawai mempertimbangkan langkah selanjutnya. Menurut kenyataan yang dikeluarkan oleh Wakil C.A. Pegawai Ruppersberger Belanda, NSA yang berbicara dengannya telah menafikan bahawa sebarang alat yang dikembangkan oleh agensi itu digunakan untuk merampas atau mengganggu sistem komputer penting kerajaan.
Berdasarkan pernyataan Walikota Bernard Young, kota itu tidak ingin membayar tebusan yang dituntut oleh pelaku iaitu 3 bitcoin setiap sistem yang dijangkiti. Pegawai kerajaan mengakui bahawa mungkin beberapa bulan sebelum semua platform dipulihkan
Walaupun sebahagian besar sistem di kota telah ditutup setelah serangan perisian hasad, sistem kritikal seperti 911 dan 311 rangkaian tidak terjejas dan masih aktif. Laporan Wall Street Journal bahawa kira-kira 10,000 komputer kerajaan dijangkiti dan banyak yang masih terkunci.
Pada masa ini, terdapat kelewatan dalam memproses penjualan rumah kerana sistem yang terjejas tidak dapat digunakan untuk mendedahkan perincian mengenai penjual harta tanah seperti gadai janji yang belum dibayar. Maklumat tersebut diperlukan untuk dikeluarkan kepada penanggung insurans tetapi pada masa ini tidak dapat diakses. Sistem penagihan air juga terjejas dan oleh itu pelanggan tidak akan menerima bil untuk beberapa waktu. Kelewatan itu mungkin menyebabkan lonjakan caj ketika keadaan diselesaikan.
Berikut adalah petikan dari kenyataan rasmi daripada datuk bandar memberikan gambaran keseluruhan keadaan semasa.
“Saya tidak dapat memberi anda garis masa yang tepat mengenai kapan semua sistem akan dipulihkan. Seperti syarikat besar, kami mempunyai ribuan sistem dan aplikasi.
Tumpuan kami adalah mendapatkan perkhidmatan kritikal kembali dalam talian, dan melakukannya dengan cara yang memastikan kami menjaga keselamatan sebagai salah satu keutamaan kami sepanjang proses ini. Anda mungkin melihat sebahagian perkhidmatan mula pulih dalam beberapa minggu, sementara beberapa sistem kami yang lebih rumit mungkin memerlukan masa berbulan-bulan dalam proses pemulihan. “
Akaun Gmail Baltimore Dinyahdayakan Google
Selepas serangan itu, pekerja kakitangan kerajaan di Baltimore nampaknya berusaha menyiapkan akaun Gmail sementara sebagai jalan penyelesaian berikutan penyahaktifan sistem yang dijangkiti dan menurut Baltimore Sun, banyak dari mereka kurang upaya.
Pada mulanya tidak jelas mengapa ini berlaku tetapi Brooks Hocog, jurucakap Google, menjelaskan bahawa penciptaan akaun Gmail secara besar-besaran di kawasan geografi yang dilokalkan mencetuskan sistem keselamatan syarikat yang melumpuhkan sebahagian besar dari mereka. Banyak yang dilaporkan pulih beberapa saat selepas kenyataan yang dikeluarkan.
Bagaimana Jangkitan Berlaku
Peretas dapat menjangkiti ribuan jika sistem komputer dalam jangka waktu yang sangat singkat dengan diduga menggunakan EternalBlue, alat peretasan NSA yang bocor. Pada 7 Mei, pekerja kerajaan kota bangun untuk mencari sistem fail kritikal yang disulitkan oleh ransomware.
Penjenayah siber menuntut pembayaran dalam bitcoin. Walaupun sistem itu segera dibawa ke luar talian dan FBI dipanggil untuk menyiasat, sistem mel suara dan pangkalan data denda tempat letak kereta antara lain telah disulitkan. Firma Keselamatan Siber, Armor, berkongsi gambar nota yang ditinggalkan yang ditinggalkan oleh penggodam menuntut tebusan.
Ia memberi amaran bahawa ia akan meningkat menjadi $ 10,000 setiap hari setelah empat hari, sambil menambah bahawa tidak ada rundingan lebih lanjut yang akan dilakukan.
Penjenayah siber dipercayai mempunyai memperoleh akses ke pelayan kerajaan melalui sistem komputer yang terdedah. Mereka kemudian dapat membuat pintu belakang yang membolehkan mesin yang dijangkiti menjangkiti orang lain yang tersambung ke rangkaiannya.
Kontraktor keselamatan siber yang mengerjakan projek itu diduga menemui alat lain yang disebut shell web yang dapat digunakan bersamaan dengan EternalBlue untuk “menyebarkan hash” di komputer rangkaian. Ini diyakini telah memungkinkan malware menyebar lebih jauh dengan menggunakan bukti kelayakan yang disalin untuk memintas protokol rangkaian.
EternalBlue Digunakan Secara Luas oleh Penggodam Crypto
Eksploitasi EternalBlue dikembangkan oleh NSA tetapi dibocorkan dalam talian oleh Shadow Brokers pada tahun 2017. Kod asal sejak itu telah diubah suai oleh banyak pelaku jahat untuk menembusi sistem komputer dan memasang perisian hasad, penambang cryptocurrency dan ransomware.
Ia terutama digunakan untuk melakukan serangan ransomware WannaCry yang menjangkiti PC di seluruh dunia pada tahun 2017 hanya beberapa bulan setelah kebocoran. Ia berfungsi dengan menyulitkan fail pada komputer peribadi dan kemudian menuntut wang tebusan untuk dibayar dalam crypto. Lebih 150,000 komputer dijangkiti di lebih dari 100 negara.
Microsoft dengan cepat melepaskan patch yang dirancang untuk menggagalkan serangan itu tetapi masih ada jutaan komputer di luar sana yang rentan karena penggunaan perisian Windows palsu yang meluas, kegagalan memasang patch atau kemas kini keselamatan Microsoft terbaru. Penyiasat percaya bahawa kegagalan memasang kemas kini keselamatan terhadap eksploitasi inilah yang menyebabkan serangan Baltimore begitu berjaya.
EternalBlue Diutamakan Oleh Kumpulan Peretas Crypto Mining
EternalBlue kembali menjadi perhatian pada bulan Januari setelah para penyelidik mengungkap penggunaannya dalam kempen cryptojacking canggih yang terutama menyasarkan komputer dan pelayan di China.
Pasukan keselamatan Qihoo 360 dikreditkan sebagai yang pertama menemui jangkitan. Kempen itu nampaknya bergantung pada EternalBlue bersama dengan beberapa skrip PowerShell yang hebat untuk memuat turun muatan perisian hasad pada mesin yang dijangkiti dan menambang cryptocurrency seperti Monero.
Baru-baru ini, Symantec membongkar kempen cryptojacking utama yang melibatkan eksploitasi EternalBlue yang terutama menyasarkan perusahaan di China. Ia bergantung pada penambang crypto berasaskan fail. Jangkitan awal mesin nampaknya dilakukan melalui e-mel pancingan data.
Kenaikan pasaran cryptocurrency baru-baru ini dipercayai mendorong kebangkitan serangan perisian hasad cryptojacking. Laporan Symantec bahawa jangkitan cryptojacking turun sekitar 50 peratus pada 2018 setelah pasaran crypto mengalami modus penurunan.
Laporan ini menggarisbawahi bahawa walaupun serangan ransomware telah menurun dan sekarang turun sekitar 20 persen, kempen yang menargetkan perusahaan telah meningkat sekitar 12 persen.
(Kredit Gambar Pilihan: Pixabay)
