Minnesota Şehri St. Paul fidye yazılımı yanıtı devam ediyor

Fidye yazılımı bilgisayar korsanlarının sistemlerine saldırmasından yaklaşık üç hafta sonra, eyalet başkentinin yanıtı nispeten hızlı bir şekilde ilerliyor gibi görünüyor. Belediye Başkanı Melvin Carter, şehrin fidye ödemeyeceğini ve verileri yedeklemelerden geri yüklediğini ve geri dönüp çalışmaya başlamak için 24 saat çalıştığını söyledi. FBI, ABD İç Güvenlik Bakanlığı ve Devlet Ulusal Muhafızları yardım ediyor (bkz: Minnesota, St. Paul Cybertack üzerinden Ulusal Muhafızları etkinleştirir).

Carter Pazartesi günü gazetecilere verdiği demeçte, “Sevgiyle tüm şehir sistemlerimizin büyük bir kontrol-alt-delete olarak adlandırdığım şeyi yapıyoruz.” Dedi. Bu, şimdiye kadar tüm şehir sistemlerinin% 90’ından fazlasına daha gelişmiş güvenlik araçlarının kurulmasını ve tüm şehir çalışanlarının şifrelerini sıfırlayıp siber güvenlik denetimi için işten verilen cihazlarını göndereceği merkezi bir yer çalıştırmayı içeriyordu.

300.000’den fazla sakini olan şehir web sitesi, bazı iç sistemlerin ve çevrimiçi hizmetlerin hala mevcut olmaya devam etmediğini, ancak “kamu güvenliği ve kritik altyapı sistemlerinin tamamen faaliyete geçtiğini” söylüyor. “Durumu çözmek ve tam işlevselliği geri kazanmak için ekiplerimiz yerel, eyalet ve federal ortaklarla yakın işbirliği içinde çalışıyor” diyor.

Pazartesi günü, Interlock Fidye Yazılım Grubu, şehri karanlık web veri sızıntı blogunda bir kurban olarak iddia ederek listeledi. Ceza grubu ayrıca, 66.460 dosya ve 7.898 klasör kapsayan 43 gigabayt çalıntı veri içerdiğini söylediği Stolen City bilgilerini sızdırdı.

Belediye başkanı, sızdırılan verilerin meşru göründüğünü ve bir şehir parklarından ve rekreasyon departmanı sunucusundan çalındığını ve konut sakinleri yerine çoğunlukla şehir çalışanlarıyla ilgili göründüğünü söyledi. Verilerin kritik olmadığını söyledi. Carter, “Bunlar bordro, izin veya lisanslama gibi temel şehir sistemleri değil.” Dedi. Şehir, bordrounu manuel olarak işlemek zorunda kalmasına rağmen, tüm çalışanlara zamanında ödeme yapmaya devam ettiğini söyledi.

Gasarcıların sızacak başka bir şeyleri olup olmadığı – yetkililer şehir sistemlerinin toplu olarak yaklaşık 153 terabayt veri depoladığını söyledi. Carter, “Bize karşı yayınladıkları şeyin kapsamı başka bir yerde başardıklarından çok daha küçük olsa da, gerçek şu ki, birisi sistemlerimizin içindeydi ve bir kez gerçekleştiğinde, daha fazla erişemeyeceklerini garanti etmenin bir yolu yok.” Dedi.

Şehir, 25 Temmuz’da ortaya çıkan saldırıyı tespit etti ve çok sayıda sistemi devre dışı bıraktı. Yanıtın bir parçası olarak Carter, şehre yardımcı olan Minnesota Ulusal Muhafız siber koruma ekiplerini etkinleştiren bir yürütme emri yayınlayan Gov. Tim Walz’dan destek talep eden bir acil durum emri yayınladı.

Acil durum genişletilmiş

1 Ağustos’ta, St. Paul Belediye Meclisi oybirliğiyle 90 gün boyunca Acil Durum Durumu Carter’ın etkin bir şekilde ilan etti.

Konsey başkanı Rebecca Noecker, “Acil durum beyanını genişleterek, şehrin etkin bir şekilde yanıt vermek için gerekli dış destek ve koordinasyona erişmeye devam edebileceğini sağlıyoruz.” Dedi. “Bu sorunu çözmek ve sistemlerimizi korumak için yorulmadan çalışan personel, acil durum yönetimi ekipleri ve siber güvenlik uzmanlarına en derin teşekkür ederiz.”

Yetkililerin “Operasyon Güvenli St. Paul” adını verdiklerinin bir parçası olarak Pazar günü, şehirleri yerel bir arena olan Roy Wilkins Oditoryumu’na şifrelerini sıfırlamak için göndermeye başladı.

Şehrin CIO yardımcısı Mary Gleich-Matthews, “Tüm siber güvenlik uzmanlarının önerisi, bu fiziksel yüz yüze sıfırlamanın alınması için en güvenli seçenektir.” Dedi.

“Bu yüzden, çalışanlarımızın kim olduklarından emin olmak için kimliğini doğruluyoruz ve sonra cihazlarının güvenli olduğundan, neler olup bittiğini, onları nasıl koruduğumuzu anladıklarından emin olmak için gerçekten bu fiziksel anı olmasını istedik.” Dedi.

KMSP, merkezde 80 dizüstü bilgisayar sporu, bu sayıda çalışanın şifre düzeltme işlemi boyunca her 30 dakikada bir yönlendirildiğini bildirdi, bundan sonra şehir BT ekibi, çalıştırdıkları güvenlik yazılımını güncellemek de dahil olmak üzere çalışanlara verilen herhangi bir eve cihaz cihazını gözden geçirdi.

Pazartesi günü, şehir 3.500 çalışanın 2.000’sinin şifrelerini başarıyla sıfırladığını söyledi.

Kilit Saldırıları

St. Paul şu anda Interlock tarafından iddia edilen çoklu kurbanlardan biridir. Fidye yazılımı grubunun Çarşamba günü veri sızıntısı sitesi 50’den fazla kurbanı listeledi. Fidye yazılımı operasyonları, kamu profillerini ve kurbanlarını mevcut ve geleceğe baskı yapmak için genellikle talep edilen, ödemeyen kurbanlarının bir alt kümesini listeler (bkz: bkz: Fidye Yazılım Gruplarının Veri Sızıntı Blogları Yalan: Onlara Güvenmeyi Durdurun).

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve FBI, 22 Temmuz’da Eylül 2024 civarında ortaya çıktığını ve sanal makineler de dahil olmak üzere pencereleri ve Linux ortamlarını şifreleyen çok sayıda saldırıya bağlı olduğunu söyledikleri birbirine ilişkin ortak bir danışmanlık yayınladı.

FBI, tehdit aktörlerinin “fidye yazılımı grupları arasında nadiren nadir bir yöntem olan uzlaşmış meşru web sitelerinden sürüşle indirme yoluyla ilk erişim elde ettiğini” ve ClickFix – aka clearfake veya “macun ve koş” – sosyal mühendislik taktiklerini kullandığını söyledi.

Siber güvenlik firması Halcyon 23 Temmuz’da bildirdiğine göre, Interlock’a bağlı saldırganlar operasyonlarının hızını artırıyor. Birçok fidye yazılımı grubu gibi, Interlock bir hizmet işi olarak yürütülüyor, operasyonun fidye yazılımlarını kullanan iştirakler, ödenen herhangi bir fidye ekibinin% 70 ila% 80’ini kullanıyor.

Siber güvenlik firması Cyble, hizmet olarak fidye yazılımı grubunun taktikleri genellikle “sahte yazılım güncellemeleri, çalınan kimlik bilgileri ve kurbanları ödemeye baskı yapmak için bulut eksfiltrasyonu” içeriyor.