Вымогатели, которые в начале мая атаковали Балтимор, по данным ИБ-экспертов, воспользовались уязвимостью EternalBlue. Инцидент произошел 7 мая, однако город до сих пор разбирается с последствиями атаки, не желая платить выкуп в несколько десятков тысяч долларов.

Злоумышленники вывели из строя муниципальные информационные системы и адреса электронной почты администрации Балтимора при помощи шифровальщика RobbinHood, одного из новейших представителей своего класса.

Любопытной особенностью зловреда является то, что он не распространяется по сети. Попав на компьютер, шифровальщик изолирует его, так что злоумышленникам приходится атаковать каждое устройство отдельно.

В Балтиморе следователи пришли к выводу, что для заражения преступники применяли эксплойт EternalBlue из арсенала Агентства национальной безопасности (АНБ) США, использующий уязвимость прикладного сетевого протокола Server Message Block. За последние два года этот эксплойт задействовали во многих серьезных кибератаках, начиная с глобальной эпидемии WannaCry. Патч к этому багу вышел еще до первых инцидентов, но популярность EternalBlue среди злоумышленников с каждым годом только растет.

IT-службе правительства Балтимора потребовалось несколько часов, чтобы изолировать зловреда. За это время он успел поразить 10 тыс. персональных компьютеров, базы учета потребления воды и штрафов за парковку и местный реестр сделок с недвижимостью. Экстренные службы, в том числе 911, не пострадали.

Сотрудники муниципалитета потеряли доступ к электронной почте и были вынуждены перейти на работу из дома. Администрация создала для них временные Gmail-адреса, однако они попали под автоматическую блокировку сервиса по подозрению в нежелательной активности. Позже компания Google восстановила чиновникам доступ к почтовым ящикам. При этом большая часть информационных систем Балтимора на момент публикации остается в нерабочем состоянии. По словам экспертов, восстановление самых сложных из них может отнять еще несколько месяцев.

Городская администрация привлекла к расследованию ФБР, которое запретило разглашать подробности об инциденте. Журналистам удалось выяснить, что вымогатели потребовали по 3 BTC за разблокировку каждой информационной системы или 13 BTC, чтобы вернуть сразу все данные (около $26 тыс. и $113,5 тыс. по курсу на момент написания статьи соответственно). Авторы сообщения также пообещали удалить все IP-адреса и ключи шифрования после получения денег, пояснив, что придают большое значение приватности своих жертв.

Мэр Балтимора Бернард Янг (Bernard Young) отказался платить вымогателям выкуп и продолжает держаться этой позиции, однако уже менее уверенно.

«Я в раздумье, — сказал он журналистам на пресс-конференции по поводу расследования. — Сейчас я говорю «нет», но ради будущего города? Я могу задуматься об этом. Решение я пока не принял».

Стоит отметить, что инцидент в Балтиморе — лишь последний пункт в списке вымогательских атак на американские города. Так, в 2018 году из-за EternalBlue были парализованы городские системы в Аллентауне и Сан-Антонио. В первом случае затраты на восстановление данных составили около $1 млн долларов. Еще несколько сотен тысяч долларов администрации придется ежегодно тратить на поддержку защитных систем.

Категории: Вредоносные программы