Атака шифровальщика BitPaymer привела к отключению муниципальной IT-инфраструктуры в администрации боро Матануска-Суситна, третьего по численности населения округа Аляски. Сотрудники IT-службы сами вывели системы в оффлайн, чтобы остановить внезапную атаку зловредного ПО.

Под ударом оказались сотни рабочих станций и серверов. Как сообщили представители ведомства, первые тревожные сигналы появились 17 июля, а сам зловред проник в систему еще 3 мая.

Когда 23 июля IT-специалисты начали работы по устранению шифровальщика, тот перешел в атаку и заблокировал 500 офисных компьютеров на базе Windows 7 вместе с 120 из 150 серверов. Троян добрался и до ПО электронных замков в администрации, однако они продолжили функционировать.

Власти сообщили, что персональная информация граждан не подверглись угрозе. Шифровальщик также не затронул данные онлайн-платежей в Матануска-Суситне — они хранятся и обрабатываются в системах сторонней организации.

Чтобы остановить вредонос, сотрудники сначала отключили друг от друга оставшиеся серверы, а затем оборвали все коммуникации ведомства — телефонную и интернет-связь, а также электронную почту. После этого IT-специалисты начали восстановление сети с нуля.

Директор по общественным делам Матануска-Суситны Патти Салливан (Patty Sullivan) заявила, что кибератака не помешала работе служащих. Они вернулись к печатным машинкам и письму от руки, пока ИБ-эксперты работали с компьютерами и телекоммуникационной инфраструктурой. Всего в устранении последствий приняли участие 20 различных государственных и частных организаций.

Комплексный характер атаки заставил IT-директора боро Эрика Уайатта (Eric Wyatt) предположить, что за ней стоит не «какой-то пацан из маминого подвала», а серьезная группировка.

В отчете, опубликованном 30 июля, эксперт сообщил, что нападение стало возможным благодаря комбинации нескольких угроз, включая уязвимости нулевого дня. В атаке использовались Emotet и BitPaymer (также известный как FriedEx) — в мае «Лаборатория Касперского» включила эти вредоносы в тройку самых резонансных зловредов по итогам I квартала 2018 года.

Уайатт не уточнил, платил ли округ выкуп за утраченные данные, однако сказал, что часть информации удалось восстановить из резервных копий. Он также сообщил, что похожие инциденты произошли в других регионах Аляски. От BitPaymer пострадал, в частности, город Валдиз — его власти сообщили об атаке 28 июля.

В январе о своем опыте борьбы с шифровальщиком ExPetr рассказала корпорация Maersk, занимающаяся контейнерными перевозками по всему миру. По словам топ-менеджера компании Джима Хагемана Снабе (Jim Hagemann Snabe), сотрудники в течение 10 дней работали вручную, а IT-специалисты за это время переустановили около 4000 серверных систем, 45 тыс. персональных ОС и более 25 тыс. приложений.

Категории: Другие темы, Хакеры