Baltimora continua a tremare dall'attacco ransomware

La città di Baltimora si sta ancora occupando delle conseguenze del attacco ransomware che ha avuto luogo il 7 maggio. Polizia, incendi e servizi di emergenza non sono stati influenzati dal malware, ma quasi tutti gli altri servizi sono stati interrotti o portati offline per prevenire ulteriori danni . Il ripristino delle reti interessate si è dimostrato un compito impegnativo e, a due settimane dalla violazione, molti sistemi non sono disponibili. In effetti, il nuovo sindaco di Baltimora Bernard "Jack" Young ha rilasciato una dichiarazione il 17 maggio affermando che potrebbero essere necessarie settimane per il parziale ripristino delle funzioni online della città e dei mesi per alcuni dei sistemi più complessi. La dichiarazione ha anche rivelato che i principali esperti di cybersecurity sono stati assunti e stanno lavorando con i funzionari della città.

Nel frattempo, sia i residenti che i lavoratori delle città si stanno sforzando di trovare soluzioni alternative, mentre le bollette del acqua e altre spese cittadine come i biglietti di parcheggio non possono essere elaborate online. Tutti gli acquisti immobiliari sono stati messi in attesa a causa dei problemi di rete. Le spese per le bollette tardive per i clienti City e County sono state successivamente sospese mentre una soluzione manuale per le transazioni immobiliari è stata istituita il 20 maggio.

Questa non è la prima volta che Baltimore è vittima di un attacco di ransomware. Nel 2018, il sistema 911 della città è stato rimosso dopo che gli aggressori hanno sfruttato una modifica al firewall causata dalla manutenzione della rete di comunicazioni.

I file sono stati crittografati con RobbinHood Ransomware

Frank Johnson, Chief Information Officer di Baltimora, ha confermato che le interruzioni dei sistemi sono state causate da una nuova variante di RobbinHood Ransomware . Pochi dettagli erano disponibili su come funziona questo particolare ransomware prima che il ricercatore di sicurezza Vitaly Kremez riuscisse a decodificare un campione di RobbingHood . Secondo le sue scoperte, il ransomware non ha la capacità di diffondersi attraverso le reti infiltrate. Al contrario, RobbinHood disconnette tutte le condivisioni di rete sul sistema informatico tramite il comando " cmd.exe / c net use * / DELETE / Y " , che ha portato Kremez alla conclusione che il ransomware è stato trasferito individualmente su ciascun computer infetto molto probabilmente attraverso un controller di dominio o un framework come PsExec.

Inoltre, quando viene avviato RobbinHood Ransomware, tenta di chiudere 181 processi Windows che potrebbero impedire la crittografia dei tipi di file scelti come target. Questi includono database, server di posta, programmi antivirus, agenti di backup e altri software che potrebbero interrompere le operazioni del malware. Durante il processo di crittografia, diversi file contenenti una richiesta di riscatto vengono rilasciati sulla macchina. I criminali richiedono il pagamento di 3 Bitcoin per ogni computer infetto o 13 Bitcoin, del valore di circa $ 100.000, per la decodifica di ogni sistema interessato. I funzionari di Baltimora hanno dichiarato che non effettueranno alcun pagamento ai criminali.