O ataque aos trens de São Francisco

por

O serviço de trens urbanos de São Francisco foi vítima de ransomware no final de novembro, levando a empresa a ter que liberar as catracas e deixar os passageiros viajarem de graça. Graças a ações de vigilantes que invadiram os servidores do próprio hacker, já se sabe detalhes de como isto aconteceu.

O ataque aconteceu no dia 25/11. Centenas de computadores e terminais de venda de bilhetes mostravam a mensagem “You are Hacked. Your HDD Encrypted”, junto com um endereço de email para contato. O resgate solicitado era de 100 bitcoins, cerca de US$73.000.

Na impossibilidade de vender bilhetes ou de ler os cartões de acesso, a San Francisco Municipal Transportation Agency (SFMTA) liberou o acesso gratuito dos passageiros em diversas estações, para a alegria de muitos. A empresa se recusou a pagar o resgate e restaurou seus sistemas a partir de backups. Mas a história não termina aí.

Créditos: Blorq, via Reddit

Créditos: Blorq, via Reddit

 

Um indivíduo tomou as dores da SFMTA e conseguiu invadir a conta de email informada pelo hacker, adivinhando as respostas às perguntas de segurança para reset da senha. O pesquisador obteve acesso a emails enviados pelo hacker à SFMTA, como este abaixo:

“if You are Responsible in MUNI-RAILWAY !
All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!
We have 2000 Decryption Key !
Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!”

Outros emails mostravam que ainda em novembro o hacker obteve US$45.000 de uma companhia industrial americana que também havia sido vítima e tinha optado por pagar o resgate, além de ataques contra empresas de outros países também.

“US$45.000 de uma empresa que optou por pagar o resgate”

Aparentemente, um segundo pesquisador também teria conseguido invaO modus operandi do hacker não envolve a escolha de alvos específicos; ele usava um servidor com ferramentas automatizadas para descobrir servidores vulneráveis. No caso da SFMTA, o alvo inicial parece ter sido um servidor web usando componentes Java que continha uma vulnerabilidade reportada pela Oracle em 2015 (CVE-2015-4852).

San Francisco Muni

Também houve casos onde o hacker vendia “consultoria em segurança” para suas vítimas, cobrando bitcoins adicionais para informar que técnica ele havia utilizado na invasão e o que elas poderiam fazer para fechar estas vulnerabilidades.

Alguns conselhos para estes casos:

  1. Mantenha seus servidores e estações atualizados

  2. Não pague! O backup é a melhor alternativa.

 

Quer saber mais? Assista ao webinar da Leverage sobre Ransomware.

 

Categoria : Ataques
Tags : , ,