Группа BlackCat перебросила суд Нью-Йорка в 20 век

Округ Саффолк в Нью-Йорке завершил расследование разрушительной атаки программы-вымогателя, которая вынудила госслужащих перейти на «ручку и бумагу».

В результате атаки в сентябре 2022 года произошла утечка конфиденциальной информации более 1,5 млн. жителей Лонг-Айленда. Группа вымогателей BlackCat/AlphV взяла на себя ответственность за инцидент и опубликовала 400 ГБ украденных данных, включая тысячи номеров социального страхования (SSN).

Расследование показало, что хакеры взломали офис окружного суда в декабре 2021 года с помощью уязвимости Log4j. 8 месяцев киберпреступники находились в сетях учреждения и устанавливали майнеры, инструменты эксфильтрации, создавали поддельные учетные записи, собирали учетные данные и устанавливали инструменты удаленного мониторинга.

К августу 2022 года хакерам удалось получить доступ к папке с паролями к «крайне важным системам, которые хранились в сети суда незащищенными». Затем в течение 3-ёх часов злоумышленники смогли проникнуть в более широкую ИТ-среду учреждения.

Получение доступа к этой папке с паролями является одной из основных причин атаки, поскольку папка предоставила хакерам доступ к «системам баз данных, серверам, телефонным системам, системам резервного копирования, сетевым устройствам, файловым ресурсам, учетным записям служб, критически важным операционным системам, веб-хостингам, антивирусному ПО, ПО для мониторинга сети и других объектов.

После этого хакеры потратили месяцы на то, чтобы заложить основу для атаки, и 1 сентября извлекли массивы данных. 8 сентября киберпреступники развернули программу-вымогатель. Злоумышленники сначала потребовали выкуп в размере $2,5 млн., а затем снизили цену до $500 000. Согласно судебным документам, вымогатели так и не получили выкуп.

Несмотря на такой большой период нахождения хакеров в сети, атака затронула только 1,6% систем во всех доменах сети. Тем не менее, последствия были далеко идущими:

• Сотрудникам пришлось отключить системы электронной почты для более чем 10 000 работников офиса, что вынудило многих использовать ручку и бумагу для предоставления государственных услуг.
• Диспетчеры экстренных служб в течение нескольких недель принимали звонки вручную, а полиция использовала радио для обмена информацией о преступлениях из-за перебоев в работе сети.
• Подрядчикам платили бумажными чеками из-за опасений, что хакеры следят за системами переводов.

Утечка данных также содержит номера водительских прав, на которых «висят» 470 000 нарушений ПДД, а также информацию и контракты из суда округа Саффолк, офиса шерифа и других учреждений. Округ заявил, что будет предоставлять пострадавшим услуги по «защите личности».

Исполнительный директор округа Саффолк Стивен Беллоне заявил , что атака произошла из-за низкой кибербезопасности систем офиса. По словам Беллоне, учреждению было давно предложено внедрить механизмы кибербезопасности в масштабах округа, но один сотрудник ИТ-отдела отказался делать это. Более того, округ выделил средства для установки системы безопасности, которая так и не была реализована.

На данный момент специалисты окружного офиса совместно с Cisco и Palo Alto Networks работают над восстановлением систем. Отмечается, что значительные части окружной сети были восстановлены и работают уже почти 2 месяца. Сообщается, что округ потратил почти $5,5 млн. на восстановление систем и расследование инцидента.