米国国家安全保障局(NSA)は、そのハッキングツールのいずれかがボルチモアの政府システムへの攻撃を広めるためにサイバー犯罪者によって使用されたことを否定しました.
当局が次の動きを検討しているため、この攻撃は数週間にわたって市のサービスを不自由にしました。代表C.A.が発表した声明によるとダッチ・ルーパースバーガー、彼に話しかけたNSA当局者は、政府機関が開発したツールが重要な政府のコンピューターシステムを乗っ取ったり破壊したりするために使用されたことを否定しました.
バーナード・ヤング市長の声明によると、市は、感染したシステムごとに3ビットコインである加害者が要求する身代金を支払うことを望んでいません。政府当局者は、すべてのプラットフォームが復元されるまでに数か月かかる可能性があることを認めています
市内のシステムの大部分はマルウェア攻撃を受けてシャットダウンされましたが、911や311ネットワークなどの重要なシステムは影響を受けず、現在も稼働しています。. ウォールストリートジャーナルのレポート 約10,000台の政府のコンピューターが感染し、その多くはまだロックダウンされています.
現時点では、影響を受けたシステムを使用して未払いのリーエンなどの不動産販売業者の詳細を明らかにすることができないため、住宅販売の処理に遅れが生じています。このような情報は保険会社に公開する必要がありますが、現在はアクセスできません。水道料金請求システムも影響を受けているため、顧客はしばらくの間請求書を受け取ることができません。状況が解決されると、遅延により料金が急上昇する可能性があります.
以下は、の抜粋です。 市長からの公式声明 現在の状況の概要を提供する.
「すべてのシステムがいつ復元されるかについて、正確なタイムラインを提供することはできません。他の大企業と同様に、私たちは何千ものシステムとアプリケーションを持っています.
私たちの焦点は、重要なサービスをオンラインに戻すことであり、このプロセス全体を通じてセキュリティを最優先事項の1つとして維持できるようにすることです。部分的なサービスが数週間以内に復元され始めるのを目にするかもしれませんが、私たちのより複雑なシステムのいくつかは回復プロセスに数ヶ月かかるかもしれません。」
Googleが無効にしたボルチモアGmailアカウント
攻撃の余波で、ボルチモアの政府職員は、感染したシステムの非アクティブ化後の回避策として、一時的なGmailアカウントを設定しようとしたようです。 ボルティモアサンによると, それらの多くは無効にされました.
当初、これが発生した理由は不明でしたが、GoogleのスポークスマンであるBrooks Hocogは、ローカライズされた地理的領域でGmailアカウントを大量に作成すると、会社のセキュリティシステムがトリガーされ、その大部分が無効になったと説明しました。伝えられるところによると、発表された声明の直後に多くが回復した.
感染がどのように発生したか
リークされたNSAハッキングツールであるEternalBlueを利用したとされるハッカーは、非常に短期間で数千のコンピュータシステムに感染することができました。 5月7日、市の公務員が目を覚まし、ランサムウェアで暗号化された重要なファイルシステムを見つけました。.
サイバー犯罪者はビットコインでの支払いを要求していました。システムはすぐにオフラインになり、FBIは調査を求めましたが、市政のボイスメールシステムや駐車料金データベースなどは暗号化されていました。サイバーセキュリティ会社のアーマーは、残されたメモの編集された画像を共有しました 身代金を要求するハッカー.
4日後には1日あたり10,000ドルに増加すると警告し、それ以上の交渉は行われないと付け加えた。.
サイバー犯罪者は持っていると信じられています 政府のサーバーにアクセスできるようになりました 脆弱なコンピュータシステムを介して。その後、感染したマシンがネットワークに接続されている他のマシンに感染できるようにするバックドアを作成することができました。.
このプロジェクトに取り組んでいるサイバーセキュリティ請負業者は、EternalBlueと組み合わせて使用してネットワークコンピュータ間で「ハッシュを渡す」ことができるWebシェルと呼ばれる別のツールを発見したとされています。これにより、コピーされた資格情報を利用してネットワークプロトコルをバイパスすることにより、マルウェアがさらに拡散したと考えられます。.
暗号ハッカーによって広く使用されているEternalBlue
EternalBlueエクスプロイトは、NSAによって開発されましたが、2017年にShadow Brokersによってオンラインでリークされました。その後、元のコードは、コンピューターシステムに侵入し、マルウェア、暗号通貨マイナー、ランサムウェアをインストールするために、多数の悪意のある攻撃者によって変更されました。.
これは特に、リークからわずか数か月後の2017年に世界中のPCに感染した悪名高いWannaCryランサムウェア攻撃を実行するために使用されました。それは、パーソナルコンピュータ上のファイルを暗号化し、次に身代金を暗号で支払うことを要求することによって機能しました。 100か国以上で15万台以上のコンピューターが感染しました.
マイクロソフトは、攻撃を阻止するように設計されたパッチを迅速にリリースしましたが、偽造Windowsソフトウェアの広範な使用、パッチのインストールの失敗、または最新のマイクロソフトセキュリティアップデートのために脆弱なコンピューターがまだ何百万もあります。調査員は、エクスプロイトに対するセキュリティ更新プログラムのインストールの失敗が、ボルチモア攻撃の成功の原因であると考えています。.
クリプトマイニングハッカーグループが好むEternalBlue
EternalBlueは、研究者が特に中国のコンピューターとサーバーを対象とした洗練された暗号ジャックキャンペーンでの使用を明らかにした後、1月に再び脚光を浴びました。.
Qihoo 360セキュリティチームは、感染を最初に発見したことで知られています。キャンペーンは、感染したマシンにマルウェアペイロードをダウンロードし、Moneroなどの暗号通貨をマイニングするために、いくつかの手ごわいPowerShellスクリプトとともにEternalBlueに依存していたようです。.
最近、ノートンライフロックは、特に中国の企業を標的としたEternalBlueエクスプロイトを含む主要な暗号ジャックキャンペーンを発見しました。それはファイルベースの暗号マイナーに依存していました。マシンの最初の感染は、フィッシングメールを介して行われたようです。.
最近の暗号通貨市場の台頭は、暗号ジャックマルウェア攻撃の復活を後押ししていると考えられています. ノートンライフロックのレポート 暗号市場が弱気モードに入った後、2018年に暗号ジャック感染は約50%減少しました.
レポートは、ランサムウェア攻撃が減少し、現在は約20%減少しているものの、企業を標的としたキャンペーンは約12%増加していることを強調しています。.
(注目の画像クレジット:Pixabay)
