За поредна американска община, станала жертва на рансъмуер атака, научаваме тази седмица от страниците на CyberScoop. Става дума за Джаксън Каунти, Джорджия.
Още на първи март, служителите, обслужващи градските компютърни системи започнали да забелязват, че нещо необичайно се случва. До края на уикенда множество системи били блокирани от рансъмуер, а хората, администриращи мрежите на общината решили да изключат повечето компютри, за да спрат разпространението на атаката. Ключови части от градските системи били извън строя, между които и тази на местното полицейско управление. Докладите за арести и нарушения били изготвяни на хартия – точно, както добрите стари времена.
Междувременно, отговорните лица се свързали с Федералното бюро за разследване и външна компания за киберсигурност. Именно вторите помогнали на общинските власти, свързвайки се с авторите на атаката. Те преговаряли с тях относно плащането на откуп и в крайна сметка, откуп от $400 000 в биткойни бил платен. Историята завършила със сравнително успешен край – киберпрестъпниците изпратили верния декриптиращ ключ и общината върнала данните, които били заключени. Действие, което някои критикуват. Но може би е добре да се припомни друг случай на подобна атака, който няма щастлив край.
Преди година, властите в Атланта се сблъскват с рансъмуер атака, която изкарва от строя десетки критични за нормалната работа на общината системи. Исканият откуп е далеч по-скромен – около $50 000 в биткойн. Градските управници решават да послушат най-добрите съвети в подобни случаи и да спазват правилото „никакви преговори с терористи“. Специалисти по информационна сигурност неведнъж са заявявали, че откуп не трябва да се плаща в подобни случаи, тъй като по този начин престъпниците биват стимулирани да продължат действията си и други да пострадат – съвет, който може да има своите основания, но не във всички случаи. Последвалите събития могат да бъдат описани само с една дума – фиаско. Защото през лятото на миналата година, Дафни Ракли, по това време шеф на информационния отдел обявява официално, че ще са нужни допълнителни $9.5 милиона за справяне с последиците от атаката, което, както пишат от SecurityWeek, добавено към вече похарчени публични средства, ще превиши $17 милиона.
Подобно и на случая с Атланта, и властите в Джаксън Каунти нямат офлайн бекъп – пропуск, който е причина да разберем за тези атаки въобще. При атаката над Атланта, зловредната програмата е от семейството на SamSam. Групировката зад тази конкретна атака е известна, че я използва в целенасочени нападения към организации и институции, като общини, болници и подобни, а не към обикновени потребители. Това, с което също са известни въпросните престъпници е, че в регистрираните досега случаи, те изпращат декриптиращите ключове при плащане на откуп. При атаката към Джаксън Каунти, използваният рансъмуер е от типа Ryuk, предполагаемо разпространяван от рускоговоряща групировка и базиращ се на Hermes, рансъмуер, който се свързва със Северна Корея. Зловредната програма получи известност в началото на тази година, когато беше атакувана мрежата на издателската група на Tribune Publishing, издаваща известни американски вестници, като „Ню Йорк Таймс“, „Сан Диего Трибюн“, „Ел Ей Таймс“ и „Уолстрийт Джърнъл“. Основната разлика си остава обаче изхарчените милиони долари публични средства от общината в Атланта. А дилемата – да се плати или не откуп – не е от лесните за разрешаване.
„Това повдига интересна морална дилема. Специалистите по целия свят съветват, че откупът не трябва да се плаща. Аргументът за това е, че само ако престъпниците престанат да изкарват пари, ще се спрат атаките. Но в какъв момент идва на ред моралното задължение да защитаваш парите на данъкоплатците бива считано, че е по-важно от моралното изискване да се бориш с престъпниците. Няма лесен отговор на този въпрос“, коментира Кевин Таунзенд от страниците на SecurityWeek.
