В начале мая шифровальщик RobbinHood, который относительно недавно появился на арене вымогательского ПО, заблокировал 10 тыс. персональных компьютеров в муниципалитете Балтимора. Как стало известно в последние дни, злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue.
Помимо рабочих станций сотрудников, зловред смог добраться до одной из систем контроля ЖКХ, вывел в оффлайн базу штрафов за парковку и местный реестр сделок с недвижимостью. Граждане в одночасье потеряли возможность оплачивать коммунальные счета, приобретать дома (заморожены оказались 1,5 тыс. сделок), отправлять администрации электронные письма. По счастью, служба 911 и другие экстренные системы остались незатронуты атакой.
Как выяснили СМИ, вымогатели потребовали выкуп в 13 BTC. По получении денег преступники пообещали удалить со своих серверов конфиденциальные данные, включая IP-адреса и ключи шифрования. «Нам очень важна ваша приватность», — говорится в сообщении злоумышленников.
По мнению экспертов ИБ, атака не имела направленный характер — операторы зловреда наткнулись на балтиморскую администрацию при сканировании Интернета. Текст требования о выкупе практически совпадает с другими подобными записками, которые были обнаружены после атак RobbinHood.
Справка: шифровальщик RobbinHood
Первые атаки зафиксированы в апреле 2019 года. Распространяется через спам, уязвимые подключения удаленного доступа и с помощью дропперов. Шифрует данные с применением RSA-4096.
В отличие от многих других вымогателей, не распространяется по инфраструктуре по сетевым подключениям. Попав на компьютер, отключает более 180 сервисов и служб — антивирусы, базы данных, почтовые системы и прочие программы, которые могут помешать шифрованию. После этого блокирует сетевой доступ к машине.
Перед началом работы RobbinHood проверяет наличие публичного RSA-ключа в папке C:\Windows\Temp. При обнаружении начинает шифрование данных, создавая для каждого файла собственный AES-ключ. Этот ключ и оригинальное наименование файла далее шифруются публичным RSA-ключом, который добавляется к заблокированному файлу.
В отличие от многих других вымогателей, не распространяется по инфраструктуре по сетевым подключениям. Попав на компьютер, отключает более 180 сервисов и служб — антивирусы, базы данных, почтовые системы и прочие программы, которые могут помешать шифрованию. После этого блокирует сетевой доступ к машине.
Перед началом работы RobbinHood проверяет наличие публичного RSA-ключа в папке C:\Windows\Temp. При обнаружении начинает шифрование данных, создавая для каждого файла собственный AES-ключ. Этот ключ и оригинальное наименование файла далее шифруются публичным RSA-ключом, который добавляется к заблокированному файлу.
В первые дни после атаки ФБР запретило разглашать какую-либо информацию о расследовании — содержание записки попало в СМИ после утечки. О том, что преступники воспользовались знаменитым эксплойтом EternalBlue из арсенала Агентства национальной безопасности США, стало известно из недавней пресс-конференции мэра города Бернарда Янга (Bernard Young). На мероприятии он подтвердил, что власти не планируют платить выкуп, хотя финальное решение администрация пока не приняла. Информационные системы остаются заблокированными, IT-специалисты разработали новые оффлайн-средства для обеспечения ключевых процессов.
Это позволило журналистам поехидствовать о том, как американские граждане, уже давшие АНБ деньги на создание EternalBlue, теперь оплачивают и ликвидацию последствий. В самом деле, в последние годы уже несколько городов США пострадали от подобных атак. Причиной тому устаревшая IT-инфраструктура и недостаток квалифицированных специалистов в штате, способных вовремя установить поступающие патчи.
В результате город Аллентаун потерял в 2018 году миллион долларов и был вынужден искать еще сотни тысяч долларов на новые системы безопасности. В Атланте ущерб и вовсе приблизился к $20 млн, заставив общественность задуматься, не стоило ли заплатить преступникам требуемые $52 тыс. На уступки злоумышленникам пошли власти округа Джорджия, которые отправили вымогателям рекордные для США $400 тысяч.
Всего же за последние шесть лет аналитики насчитали почти 170 случаев вымогательских атак на американские города. Это далеко не полная цифра, т.к. в публичный доступ попадает малая толика подобных инцидентов. Как минимум в 70% администрация отказалась платить выкуп, в 17% — поддалась преступникам, исход остальных историй остается неизвестным.
Тем временем исследователи ESET говорят, что спустя два года после появления EternalBlue поиски уязвимых перед этим эксплойтом хостов только растут в объеме. Даже с учетом проверок, которые организуют сами ИБ-специалисты, эта активность говорит о продолжающемся развитии угрозы.
