Baltimore ainda se recupera do ataque de ransomware
A cidade de Baltimore ainda está lidando com as conseqüências do ataque de ransomware que ocorreu em 7 de maio. A polícia, os bombeiros e os serviços de emergência não foram afetados pelo malware, mas quase todos os outros serviços foram interrompidos ou desativados para evitar mais danos . Restaurar as redes afetadas provou ser uma tarefa desafiadora e, duas semanas após a violação, muitos dos sistemas permanecem indisponíveis. Na verdade, o novo prefeito de Baltimore, Bernard "Jack" Young fez uma declaração em 17 de maio dizendo que pode levar semanas para a restauração parcial das funções online da cidade e meses para alguns dos sistemas mais complexos. A declaração também revelou que os principais especialistas em segurança cibernética foram contratados e estão trabalhando com os funcionários da cidade.
Enquanto isso, tanto os moradores quanto os funcionários da cidade estão lutando para encontrar soluções alternativas, enquanto as contas de água e outras cobranças da cidade, como multas de estacionamento, não podem ser processadas on-line. Todas as compras de imóveis também foram suspensas como resultado dos problemas da rede. As taxas atrasadas de contas de água para os clientes municipais e municipais foram posteriormente suspensas, enquanto uma solução manual para transações imobiliárias foi implementada em 20 de maio.
Esta não é a primeira vez que Baltimore é vítima de um ataque de ransomware. Em 2018, o sistema 911 da cidade foi desativado depois que invasores exploraram uma alteração no firewall causada por uma manutenção da rede de comunicações.
Os arquivos foram criptografados com o RobbinHood Ransomware
O diretor de informações de Baltimore, Frank Johnson, confirmou que interrupções nos sistemas foram causadas por uma nova variante do RobbinHood Ransomware . Poucos detalhes estavam disponíveis sobre como este ransomware específico opera antes que o pesquisador de segurança Vitaly Kremez conseguisse fazer engenharia reversa de uma amostra da RobbingHood . De acordo com suas descobertas, o ransomware não tem a capacidade de se espalhar através das redes infiltradas. Pelo contrário, RobbinHood desconecta todos os compartilhamentos de rede no sistema do computador através do comando " cmd.exe / c net use * / DELETE / Y " , o que levou Kremez à conclusão de que o ransomware foi enviado para cada computador infectado individualmente um controlador de domínio ou um framework como o PsExec.
Além disso, quando o RobbinHood Ransomware é iniciado, ele tenta fechar 181 processos do Windows que podem impedir a criptografia dos tipos de arquivo de destino. Isso inclui bancos de dados, servidores de email, programas antivírus, agentes de backup e outros softwares que podem interromper as operações do malware. Durante o processo de criptografia, vários arquivos diferentes contendo uma nota de resgate são descartados na máquina. Os criminosos exigem o pagamento de 3 Bitcoins para cada computador infectado ou 13 Bitcoins, no valor de cerca de US $ 100.000, para a descriptografia de todos os sistemas afetados. Autoridades de Baltimore afirmaram que não farão nenhum pagamento aos criminosos.