Johannesburgo, la ciudad más grande de Sudáfrica y la vigésima sexta ciudad más grande del mundo, cerró su sitio web, facturación y servicios electrónicos luego de sufrir un grave ataque a la red, el segundo en tres meses, dijeron funcionarios municipales.
Un grupo que se hace llamar Shadow Kill Hackers recurrió a Twitter para tomar el crédito por el ataque, alegando que tomó la de Johannesburgo “datos financieros confidenciales fuera de línea.” El grupo exige cuatro Bitcoins, valorados en unos 32.000 dólares estadounidenses, por la devolución segura de los datos.
Un portavoz de Johannesburgo dijo que la ciudad eliminó el sitio después de detectar una brecha y que hasta el momento no se habían hecho demandas formales de rescate. También minimizó el alcance de la brecha.
“Se detectó muy pronto, cuando estaba a nivel de usuario, antes de que alcanzara el nivel de aplicaciones donde se encuentra la información crítica”, dijo a un reportero de noticias de televisión. “Así que para nosotros era importante salvaguardar la información primero, antes de comenzar con el trabajo de reparación”.
Todos sus servidores han sido hackeados
Las cuentas en Twitter cuentan una historia diferente. En esto supuesta imagen de la nota de rescate, que está dirigida a la “ciudad de Joberg”, los atacantes afirman tener control total sobre la red de la ciudad. En lugar de cifrar los datos y exigir un rescate a cambio de la clave de cifrado, los atacantes parecen amenazar con publicar los datos a menos que se entregue el dinero.
“Todos sus servidores han sido pirateados”, dice la nota. “Tenemos docenas de puertas traseras dentro de tu ciudad”. La nota continúa exigiendo el rescate de Bitcoin para el lunes. “Si no paga a tiempo, subiremos los datos completos a cualquier persona en Internet”, continúa la nota. “Si paga a tiempo, destruiremos todos los datos que tenemos y le enviaremos a su TI un informe completo sobre cómo pirateamos su sistema y su seguridad…”
Los mensajes de Twitter del grupo también dicen que las interrupciones del sitio no fueron el resultado de que los funcionarios de Johannesburgo desconecten sus sistemas como afirmaron los funcionarios, sino que el grupo de piratas informáticos desactivó el sistema de nombres de dominio de la ciudad, que se utiliza para ayudar a traducir los nombres de dominio en direcciones IP. . Otro mensaje de Twitter publicó lo que se supone que son capturas de pantalla que muestran controles de DNS y una configuración de Active Directory para la red de la ciudad de Johannesburgo.
Esta es la segunda brecha en los últimos tres meses que afecta a la ciudad. En julio, el proveedor de energía municipal de Johannesburgo sufrió un ataque de ransomware que dejó a los residentes sin electricidad.
En los primeros nueve meses de este año, al menos 621 entidades gubernamentales, proveedores de servicios de atención médica, distritos escolares, colegios y universidades han sido atacados por ransomware, según informes recientes de la firma de seguridad Emsisoft. Al menos 68 de esos ataques fueron contra entidades estatales, del condado y municipales. Un ataque en junio en Baltimore le costó a la ciudad al menos $18 millones. Tres ciudades de Florida también se infectaron este año.
El portavoz de Emsisoft, Brett Callow, le dijo a Ars que los atacantes de Johannesburgo parecían ser nuevos en la escena del ransomware.
“El mensaje de la pantalla de inicio de sesión personalizado es bastante inusual y no lo hemos visto antes”, dijo. “La dirección de correo electrónico proporcionada en la nota de rescate tampoco es una que hayamos visto utilizada en otros ataques (tampoco se ha utilizado nunca en ningún envío anterior a ID Ransomware)”.
Mientras tanto, el portavoz de Johannesburgo dijo que el personal de TI de la ciudad está trabajando día y noche para que los sistemas vuelvan a estar en línea.