Regreso al pasado: el virus Bitpaymer revierte la ciudad de Alaska a máquinas de escribir

/in /by

Este artículo trata sobre cómo el criptovirus BitPaymer ransomware había obligado a las personas en algunas partes de Alaska, EE. UU. a volver a usar máquinas de escribir. Esto se debe a que los sistemas informáticos se han visto comprometidos con dicho criptovirus y como una táctica de prevención, para evitar que el malware se propague más. Más de 200 víctimas habían sido golpeadas con BitPaymer desde que salió, aunque la mayoría de ellas han sucedido en las últimas semanas.

stf-Bitpaymer-ransomware-reverts-Alaskan-town-to-typewriters

El martes pasado, 24 de Julio, un virus informático golpeó el Área Metropolitana de Anchorage en Alaska, EE.UU, más específicamente en el barrio Matanuska-Susitna (Mat-Su). Al principio, los servidores desconectados del municipio se desconectaban entre sí, pero pronto siguieron desconectando los teléfonos, el correo electrónico y el acceso a Internet del municipio de Mat-Su, ya que reconocieron que estaban bajo un ciberataque.

Los funcionarios municipales confirman que todavía están recuperando la mayoría de sus sistemas de IT que se han visto comprometidos. La infraestructura aún se está reconstruyendo lentamente.

Mat-Su planea limpiar y reconstruir 650 PC y servidores

Las autoridades dijeron que planeaban limpiar y reinstalar 650 ordenadores de escritorio y servidores ubicados en las partes de la red Mat-Su que se cree están afectadas.

“Se está construyendo una red nueva y limpia”, dijo Sullivan, directora de asuntos públicos de Mat-Su, el viernes pasado. Para el lunes, los funcionarios de Mat-Su lograron limpiar y regresar al servicio 110 de las estaciones de trabajo de los empleados.

El servidor del teléfono fue reconstruido el domingo por la noche y algunos teléfonos Mat-Su comenzaron a funcionar nuevamente el lunes. El servidor de correo Mat-Su aún está siendo reconstruido, dijeron el lunes funcionarios. Sullivan dijo que 20 agencias diferentes y vendedores del sector privado ayudaron al gobierno a reconstruir su infraestructura de IT la semana pasada, durante el fin de semana.

Los datos de la tarjeta de pago se consideraron seguros porque se almacenaron con proveedores externos y no en los servidores del municipio. Los funcionarios de Mat-Su dijeron que no habían visto ninguna evidencia de que los atacantes hayan filtrado datos personales de los usuarios, algo que normalmente no ocurre en un ataque de ransomware.

El sitio web oficial de Mat-Su nunca se vio afectado, y los funcionarios mantuvieron al público informado sobre los servicios públicos afectados / que trabajan a través de su página de Facebook. El sistema de deslizamiento de tarjeta de cerradura de puerta Mat-Su también tenía sus datos encriptados, pero continuó funcionando independientemente.

“Sin computadoras ni archivos, los empleados de Borough actuaron con recursos”, dijo Sullivan la semana pasada. “Reinscribieron las máquinas de escribir de los armarios y escribieron a mano recibos y listas de usuarios de libros de la biblioteca y tarifas de vertederos en algunos de los 73 edificios diferentes”.

Mat-Su golpeado por “múltiples puntas, ataque de múltiples vectores

El director de IT de Mat-Su, Eric Wyatt, se reunió con agentes del FBI el miércoles pasado para aislar e identificar el “virus” y reunir información que “ayudará en el trabajo del FBI para identificar a los criminales para su enjuiciamiento”.

Wyatt llamó al virus “un ataque multidireccional y multivectorial”. También lo describió como “ni un solo virus, sino múltiples aspectos de los virus, entre los que se incluyen caballo de Troya, Cryptolocker, bomba de tiempo y el interruptor del hombre muerto”. Wyatt también dijo que el “virus” también buscó e intentó corromper las copias de seguridad del municipio, lo cual, dice, falló.

“Este es un ataque muy malintencionado y muy bien organizado”, dijo Wyatt. “No es un niño en el sótano de su madre”.

En un informe PDF publicado el día 30 de julio, Wyatt finalmente identificó el “virus” como el ransomware BitPaymer. Esta cepa de ransomware se detectó por primera vez en julio de 2017, y apareció por primera vez en los titulares de las noticias en agosto de 2017 cuando llegó a una serie de hospitales escoceses .

hoja
Un informe de ESET de enero de 2018 afirmó que el ransomware, también conocido como FriedEx, contenía evidencia que lo vinculaba al mismo grupo delictivo que ejecutaba la infame botnet Necurs y el troyano bancario Dridex.

BitPaymer inactivo en la red Mat-Su desde mayo

“Este ataque parece haber estado latente y / o no detectado en nuestra red desde el 3 de mayo”, dijo Wyatt en el informe.

Wyatt dice que sus instalaciones antivirus de McAfee comenzaron a detectar la parte “troyano” del BitPaymer ransomware el 17 de julio.

“Esto solo se vio en las máquinas con Windows 7”, dijo Wyatt. “McAfee estaba haciendo su trabajo de detección y eliminación del troyano, pero seguía pasando por alto el resto de los componentes”.

“Desarrollamos un script para eliminar los componentes descubiertos que McAfee estaba dejando en todas las máquinas y planeamos lanzarlo el lunes 23 de julio por la noche. También expiramos todas las contraseñas de los usuarios para forzar cambios de contraseña y cambiar las contraseñas de todas las cuentas de administración y servicio”, dijo Wyatt.

“Esta acción, de atacar hacia atrás, pareció desencadenar que el virus lanzara el componente Crypto Locker. Este desencadenador pudo haber sido automatizado, un Interruptor del hombre muerto, o pudo haber habido una persona que monitoreaba la actividad manualmente y ejecutó su comando y control (C2 ) para lanzar el ataque “.

Wyatt dijo que el ransomware luego cifró las 500 estaciones de trabajo de escritorio Mat-Su y 120 de los 150 servidores Mat-Su. En este punto, Wyatt desconectó la red Mat-Su, notificó al FBI y comenzó la operación de reconstrucción de la red. Wyatt no dijo si pagaron rescates por ninguno de los sistemas infectados, pero dijo que se recuperaron algunos datos de las copias de seguridad.

Mat-Su ciudad es la víctima número 210

Los investigadores que ayudaron al equipo de IT de Mat-Su le dijeron a Wyatt que no muchas organizaciones han sido afectadas por esta amenaza hasta el día de hoy. Dijeron que Mat-Su Borough era la víctima número 210.

Wyatt también dijo en el informe que el gobierno Mat-Su no fue el único afectado, revelando que la ciudad de Valdez, Alaska también está lidiando con un ataque similar, que también parece ser una infección BitPaymer. Esto resultó ser cierto, de acuerdo con una declaración de los funcionarios de la ciudad de Valdez publicada en Facebook el 28 de julio, que reconoció haber lidiado con un “virus informático”, aunque no especificaron que era una infección ransomware.

Wyatt también dijo que “hay informes de que el viernes muchos otros lugares en Alaska y alrededor de los EE. UU. fueron alcanzados”. Bleeping Computer no pudo mostrar ningún otro informe similar de dominio público sobre BitPaymer u otras infecciones de ransomware con patrones similares la semana pasada.

Fuentes: https://www.bleepingcomputer.com
https://sensorstechforum.com