De Amerikaanse National Security Agency (NSA) heeft ontkend dat zijn hacktools door cybercriminelen zijn gebruikt om een aanval op de overheidssystemen van Baltimore te verspreiden..
De aanval heeft de stadsdiensten nu al een aantal weken lamgelegd terwijl ambtenaren nadenken over de volgende stap. Volgens een verklaring van vertegenwoordiger C.A. Nederlandse Ruppersberger, NSA-functionarissen die met hem spraken, hebben ontkend dat door de dienst ontwikkelde tools werden gebruikt om vitale computersystemen van de overheid te kapen of te verstoren.
Volgens de verklaring van burgemeester Bernard Young is de stad niet van plan het losgeld te betalen dat door de daders wordt geëist, namelijk 3 bitcoins per geïnfecteerd systeem. Overheidsfunctionarissen geven toe dat het maanden kan duren voordat alle platforms zijn hersteld
Hoewel een overgrote meerderheid van de systemen in de stad werd afgesloten na de malwareaanval, bleven kritieke systemen zoals 911- en 311-netwerken onaangetast en zijn ze nog steeds actief. The Wall Street Journal meldt dat ongeveer 10.000 overheidscomputers zijn geïnfecteerd en dat velen nog steeds op slot zitten.
Op dit moment zijn er vertragingen bij de verwerking van huizenverkopen omdat de betrokken systemen niet kunnen worden gebruikt om details over verkopers van onroerend goed, zoals onbetaalde pandrechten, te onthullen. Dergelijke informatie moet worden vrijgegeven aan verzekeraars, maar is momenteel niet toegankelijk. Waterfactureringssystemen zijn ook getroffen, waardoor klanten al een tijdje geen rekeningen meer ontvangen. De vertraging zal waarschijnlijk een piek in de kosten veroorzaken wanneer de situatie is opgelost.
Het volgende is een uittreksel van het officiële verklaring van de burgemeester een overzicht geven van de huidige situatie.
“Ik kan u geen exacte tijdlijn geven wanneer alle systemen zullen worden hersteld. Zoals elke grote onderneming hebben we duizenden systemen en applicaties.
Onze focus is om kritieke services weer online te krijgen, en dit op een manier die ervoor zorgt dat we beveiliging als een van onze topprioriteiten houden tijdens dit proces. Mogelijk ziet u dat gedeeltelijke services binnen een paar weken beginnen te herstellen, terwijl het herstelproces voor sommige van onze meer ingewikkelde systemen maanden kan duren. “
Google heeft Baltimore Gmail-accounts uitgeschakeld
In de nasleep van de aanval probeerden overheidsmedewerkers in Baltimore blijkbaar tijdelijke Gmail-accounts in te stellen als tijdelijke oplossing na het deactiveren van geïnfecteerde systemen en volgens de Baltimore Sun, velen van hen waren gehandicapt.
Het was aanvankelijk onduidelijk waarom dit gebeurde, maar Brooks Hocog, een Google-woordvoerder, legde uit dat de massale aanmaak van Gmail-accounts in een gelokaliseerd geografisch gebied het beveiligingssysteem van het bedrijf activeerde, waardoor een overgrote meerderheid van hen werd uitgeschakeld. Velen werden naar verluidt gerestaureerd kort na de vrijgegeven verklaring.
Hoe de infectie optrad
Hackers konden binnen een zeer korte tijd duizenden computersystemen infecteren door naar verluidt EternalBlue te gebruiken, een gelekt NSA-hacktool. Op 7 mei werden de overheidsmedewerkers van de stad wakker en troffen ze kritieke bestandssystemen aan die waren versleuteld door ransomware.
De cybercriminelen eisten betaling in bitcoin. Hoewel de systemen onmiddellijk offline werden gehaald en de FBI belde voor onderzoek, waren onder meer het voicemailsysteem en de database met parkeerboetes van het stadsbestuur versleuteld. Cyber Security-bedrijf, Armor, deelde een geredigeerde afbeelding van het briefje achtergelaten door de hackers die losgeld eisen.
Het waarschuwde dat het na vier dagen zou stijgen tot $ 10.000 per dag, eraan toevoegend dat er geen verdere onderhandelingen zullen plaatsvinden.
De cybercriminelen zouden dat wel hebben toegang gekregen tot overheidsservers via een kwetsbaar computersysteem. Ze waren toen in staat om een achterdeur te creëren waardoor de geïnfecteerde machine anderen kon infecteren die op het netwerk waren aangesloten.
Cybersecurity-aannemers die aan het project werkten, zouden naar verluidt een andere tool hebben ontdekt, een webshell genaamd, die in combinatie met EternalBlue zou kunnen worden gebruikt om de hash door te geven aan netwerkcomputers. Aangenomen wordt dat dit de malware in staat heeft gesteld zich verder te verspreiden door gekopieerde inloggegevens te gebruiken om netwerkprotocollen te omzeilen.
EternalBlue op grote schaal gebruikt door Crypto Hackers
De EternalBlue-exploit is ontwikkeld door de NSA, maar is in 2017 online gelekt door de Shadow Brokers. De originele code is sindsdien gewijzigd door tal van kwaadwillende actoren om computersystemen binnen te dringen en malware, cryptocurrency-mijnwerkers en ransomware te installeren..
Het werd met name gebruikt om de beruchte WannaCry-ransomware-aanval uit te voeren die pc’s wereldwijd in 2017 infecteerde, slechts een paar maanden na het lek. Het werkte door bestanden op personal computers te versleutelen en vervolgens losgeld te eisen dat in cryptovaluta zou worden betaald. Meer dan 150.000 computers zijn besmet in meer dan 100 landen.
Microsoft bracht snel een patch uit die is ontworpen om de aanval te dwarsbomen, maar er zijn nog steeds miljoenen computers die kwetsbaar zijn vanwege het wijdverbreide gebruik van vervalste Windows-software, het niet installeren van de patch of de nieuwste beveiligingsupdates van Microsoft. Onderzoekers zijn van mening dat het mislukken van het installeren van beveiligingsupdates tegen de exploit de oorzaak is van de aanval in Baltimore zo succesvol te zijn.
EternalBlue voorkeur door Crypto Mining Hacker Groups
EternalBlue kwam in januari opnieuw in de schijnwerpers nadat onderzoekers het gebruik ervan hadden ontdekt in een geavanceerde cryptojacking-campagne die vooral gericht was op computers en servers in China.
Het Qihoo 360-beveiligingsteam wordt beschouwd als de eerste die de infectie heeft ontdekt. De campagne vertrouwde blijkbaar op EternalBlue samen met enkele formidabele PowerShell-scripts om malware-payloads op geïnfecteerde machines te downloaden en cryptocurrencies zoals Monero te delven..
Meer recentelijk ontdekte Symantec een grote cryptojacking-campagne met betrekking tot de EternalBlue-exploit die vooral gericht was op ondernemingen in China. Het vertrouwde op een op bestanden gebaseerde cryptominer. De eerste infectie van machines werd blijkbaar uitgevoerd via phishing-e-mails.
Aangenomen wordt dat de recente opkomst van de cryptocurrency-markt een heropleving van cryptojacking-malware-aanvallen aanwakkert. Symantec rapporteert dat cryptojacking-infecties in 2018 met ongeveer 50 procent zijn gedaald nadat de cryptomarkt in een bearish modus was geraakt.
Het rapport onderstreept dat hoewel ransomwareaanvallen afnemen en nu met ongeveer 20 procent afnemen, campagnes gericht op ondernemingen met ongeveer 12 procent zijn toegenomen..
(Featured Image Credit: Pixabay)
