Atlantic.Net stellt diese Sicherheitsempfehlung als Nachricht bereit. Wir möchten unseren Kunden versichern, dass Atlantic.Net keines dieser Produkte, die von diesem Exploit betroffen sind, intern oder in einem unserer Serviceangebote verwendet.
Es kursieren besorgniserregende Berichte über einen dreisten cyberkriminellen Ransomware-Angriff, bei dem die internen Server der Washingtoner Polizeibehörde ausgenutzt wurden. Screenshots der internen Dateiserver der Abteilung wurden auf die Ransomware-Website Babuk Locker hochgeladen und am 26. April 2021 im Darknet veröffentlicht.
Das Metropolitan Police Department (MPD) regiert die Stadt Washington DC. Sie sind eine hochkarätige Polizeitruppe, die mehrere Regierungsstandorte überwacht. Sie wurden kürzlich zum Schutz vor dem Sturm auf das Kapitolgebäude der Vereinigten Staaten vom 6. Januar 2021 gerufen. US-Sender haben spekuliert, dass die MPD aus diesen Gründen ins Visier genommen wurde.
Was wissen wir über die Datenschutzverletzung?
Die Hacker verschafften sich unbefugten Zugriff auf MPD-Computer und luden über 250 GB an hochsensiblen und unverschlüsselten Dateien herunter. Dies war Teil eines fortgeschrittenen Cyberangriffs, bei dem Polizeiserver am oder um den 19. April 2021 herum infiltriert wurden.
Die Ransomware-Bande gibt auf ihrer Website an, dass die heruntergeladenen Daten Informationen über Polizeiinformanten, DC-Straßenbanden und sensible Informationen über dienende Polizeibeamte enthalten. Ein MPD bestätigte den Verstoß am 27. April, Sprecher Sean Hickman sagte:„Uns ist der unbefugte Zugriff auf unseren Server bekannt.“
Später wurde berichtet, dass die MPD mit dem FBI zusammenarbeitet, um dieser anhaltenden ernsthaften Bedrohung entgegenzuwirken. Der Angriff soll finanziell motiviert sein. Bei früheren Babuk-Cyberangriffen wurden Lösegelder auf ihrer Website veröffentlicht, aber es ist nicht bekannt, wie hoch das Lösegeld für die MPD war. Babuk hat der MPD 3 Tage gegeben, um auf das Lösegeld zu reagieren, oder sie werden damit beginnen, vertrauliche Informationen freizugeben.
Die Babuk-Ransomware und die Gruppe selbst sind relativ neu in der Szene und erregten unsere Aufmerksamkeit erstmals im Januar 2021. Es ist bekannt, dass sie an mindestens 5 großen Datenschutzverletzungen in Unternehmen beteiligt waren, darunter das britische Unternehmen Serco Group PLC, eine britische Regierung Dienstleistungsunternehmen.
McAfee hat eine umfassende technische Analyse der Babuk-Ransomware durchgeführt. Zusammenfassend löscht die Malware die Schattenkopien eines Servers, ähnlich wie lokale System-Backups. Dateien werden mit einem Schlüssel verschlüsselt, der den extrem starken ChaCha-Algorithmus verwendet, wodurch der Schlüssel unmöglich zu knacken ist.
Was sind die wahrscheinlichen Ursachen des Verstoßes?
Wir lernen immer noch genau, wie die MPD ins Visier genommen wurde, da die Details dünn gesät sind. Wenn wir die vorherigen Babuk-Ransomware-Angriffe berücksichtigen, handelt es sich höchstwahrscheinlich um einen der folgenden:
- E-Mail-Spear-Phishing – Eine Phishing-Kampagne ist normalerweise die häufigste Ursache für Datenschutzverletzungen. Die Hacker arbeiten mit Mitarbeitern an vorderster Front zusammen, um ihr Vertrauen zu gewinnen oder sie dazu zu bringen, einen Malware-Anhang aus einer E-Mail herunterzuladen. Nach dem Herunterladen wird eine Malware-Payload mithilfe verschiedener raffinierter Ebenen ausgeführt, um das Netzwerk des Opfers zu kompromittieren.
- Ausnutzbare öffentlich zugängliche Anwendung – Dies kann jede Anwendung, Website oder URL sein, die dem öffentlichen Internet ausgesetzt ist. Jede Anwendung kann potentiell ausgenutzt werden; Deshalb sind Patches und Sicherheitsupdates so wichtig.
- Remotedesktopangriff – Ein weiterer bewährter Angriffsvektor sind Brute-Force-RDP-Angriffe auf anfällige Endpunkte. Wenn ein Unternehmen nach außen gerichtete Remote-Desktop-Verbindungen hat, stehen nur ein Benutzername und ein Passwort zwischen dem Hacker und dem Server. Ist die RDP-Verbindung mit schwachen Credentials gesichert, können diese relativ schnell von Hacking-Tools erraten werden.
- Data-Mining/Keylogging/Infostealer – Eine andere Möglichkeit, und obwohl weniger wahrscheinlich, könnten Anmeldeinformationen im MPD-Online-Code-Repository gefunden worden sein, oder ein Terminal wurde möglicherweise kompromittiert, um Anmeldeinformationen für Polizeicomputer zu stehlen.
Was passiert als nächstes?
Bisher hat die MPD geschwiegen, nur den Verstoß bestätigt, sich aber nicht zu den angeblich von MPD-Servern gestohlenen Inhalten geäußert. Derzeit scheinen wir auf den Ablauf der 3-Tages-Frist zu warten, die der MPD gegeben wurde. Es ist unwahrscheinlich, dass die MPD das Lösegeld zahlen wird, und der Rat des FBI lautet normalerweise, das Lösegeld nicht zu zahlen, aber angesichts der potenziell extremen Sensibilität der kompromittierten Daten, insbesondere einer möglichen Liste von Polizeiinformanten, wird Atlantic.Net ein Auge darauf haben wie sich die Situation entwickelt.
Wenn Ihr Unternehmen Bedenken hinsichtlich der Cybersicherheit hat, wenden Sie sich bitte an Atlantic.Net. Wir sind Spezialisten für Managed Services, Dedicated Cloud Hosting und HIPAA-Compliance. Die Sicherheit unserer Infrastruktur ist von größter Bedeutung, und wir arbeiten hart daran, sicherzustellen, dass wir die besten Sicherheitsprozesse einsetzen.