Imágenes de Alex Wroblewski/Getty
Los sistemas de varios departamentos del gobierno de la ciudad de Baltimore se desconectaron el 7 de mayo debido a un ataque de ransomware. A partir de las 9:00 a. m. de hoy, el correo electrónico y otros servicios permanecerán sin conexión. La policía, los bomberos y los sistemas de respuesta a emergencias no se han visto afectados por el ataque, pero casi todos los demás departamentos del gobierno de la ciudad se han visto afectados de alguna manera.
Las llamadas a la Oficina de Tecnología de la Información de la ciudad están siendo respondidas por una grabación que dice: “Sabemos que los sistemas están caídos actualmente. Estamos trabajando para resolver el problema lo más rápido posible”.
#BCRPALERT: BCRP presenta cortes de red y correo electrónico. Pedimos disculpas por el retraso en todas las comunicaciones y estamos trabajando para solucionar el problema. Tenga en cuenta que nuestro pago en línea, permiso, registro de programa y solicitudes de servicio se están realizando actualmente. pic.twitter.com/vzXYnEqi7M
— Parques y recreación de Baltimore (@RecNParks) 7 de mayo de 2023
Lester Davis, portavoz de la oficina del alcalde de Baltimore, le dijo a Ian Duncan del Baltimore Sun que el ataque fue similar al que azotó Greenville, Carolina del Norte, en abril.
El director de información de Baltimore, Frank Johnson, confirmó hoy en una conferencia de prensa que el malware era «el muy agresivo ransomware RobbinHood» y que el FBI lo había identificado como una «variante bastante nueva» del malware. Esta nueva variante de RobbinHood surgió durante el último mes.
El investigador de seguridad Vitali Kremez, quien recientemente realizó ingeniería inversa de una muestra de RobbinHood, le dijo a Ars que el malware parece apuntar solo a archivos en un solo sistema y no se propaga a través de redes compartidas. “Se cree que se propaga directamente a las máquinas individuales a través de psexec y/o el compromiso del controlador de dominio”, dijo Kremez. «El razonamiento detrás de esto es que el ransomware en sí mismo no tiene ninguna capacidad de propagación de red y está destinado a implementarse para cada máquina individualmente».
Eso significaría que el atacante ya debería haber obtenido acceso de nivel administrativo a un sistema en la red «debido a la forma en que el ransomware interactúa con el directorio C:\Windows\Temp», explicó Kremez.
Además de requerir la ejecución en cada máquina de destino individual, RobbinHood también requiere que una clave RSA pública ya esté presente en la computadora de destino para comenzar el cifrado de los archivos. “Eso significa que el atacante probablemente lo implemente en varios pasos, desde obtener acceso a la red en cuestión, moverse lateralmente para obtener privilegios administrativos para un controlador de dominio o mediante psexec, implementar y guardar la clave RSA pública y el ransomware en cada máquina y luego ejecutar eso”, señaló Kremez.
Antes de que comience el cifrado, el malware RobbinHood cierra todas las conexiones a los directorios de red compartidos con un uso neto * /BORRAR /Y y luego ejecuta 181 comandos de apagado de servicios de Windows, incluida la desactivación de múltiples herramientas de protección contra malware, agentes de copia de seguridad y servicios administrativos de correo electrónico, base de datos e Internet Information Server (IIS). Esa cadena de comandos, que comienza con un intento de apagar el agente AVP de Kaspersky, crearía mucho ruido en cualquier sistema de administración que monitoree los registros de eventos de los sistemas Windows.
Hace poco más de un año, el sistema 911 de Baltimore fue atacado por ransomware cuando el mantenimiento de las redes de la ciudad dejó brechas breves en un firewall. Aparentemente, el cambio de firewall solo tenía cuatro horas antes de que los atacantes lo explotaran, probablemente a través de un escaneo automático.
Johnson insistió en que las disposiciones de seguridad de la información de la ciudad habían sido auditadas y estaban actualizadas. «Hemos sido evaluados varias veces desde que llegué aquí, y obtuvimos múltiples certificados de salud limpios», dijo. «Tenemos una muy buena capacidad. Desafortunadamente, es una carrera entre los malos actores y la industria de la seguridad cibernética».
En su conferencia de prensa, el nuevo alcalde de Baltimore, Bernard “Jack” Young, dijo que no estaba claro cuánto tiempo estarían desconectados los sistemas de la ciudad. «Hay un sistema de respaldo con el departamento de TI», dijo, «pero no podemos simplemente ir y restaurar porque no sabemos qué tan atrás se remonta el virus. Así que no quiero que la gente piense que Baltimore no No tengo una copia de seguridad».
Mientras tanto, dijo Young, los empleados de la ciudad tendrían que cambiar a hacer las cosas manualmente. Si los trabajadores de la ciudad están inactivos durante una cantidad considerable de tiempo, Young dijo que podría pedirles que «ayudaran a limpiar la ciudad».
