„Radnice města Baltimore v současné době nemůže přijímat ani odesílat e-maily. Pokud potřebujete pomoc, zavolejte na oddělení, které potřebujete kontaktovat.“ Oznámení na webu Baltimorecity.gov ukazuje, jak moc fungování tohoto amerického města zasáhlo zamoření jeho počítačů ransomwarem RobbinHood. Baltimore s nákazou bojuje už tři týdny a může trvat ještě několik měsíců, než se z útoku plně zotaví.
V úterý 7. května se na twitterovém účtu jednoho z oddělení baltimorské radnice objevila lakonická zpráva: „Neignorujeme vás. Nefungují nám e-maily. Naši IT pracovníci problém řeší.“ O něco později radnice oznámila, že se výpadek týká i telefonů (město používá IP telefonní systém) a dalších služeb. Krátce poté IT oddělení města ve snaze omezit šíření malwaru vypnulo všechny nekritické IT systémy.
To už bylo jasné, že jsou městské počítače zasaženy ransomwarem a že neznámí útočníci za jejich odblokování požadují 13 bitcoinů (v přepočtu momentálně asi 100 tisíc dolarů) za celý systém (nebo 3 BTC za jeden počítač). Radnice ovšem zatím odmítá výkupné zaplatit.
RobbinHood v akci
Ani po třech týdnech město nezveřejnilo příliš detailů o tom, jak útok proběhl. Nechceme komplikovat policejní vyšetřování, zdůvodňují to zástupci radnice. Jasné je, že ransomware zasáhl zřejmě několik tisíc městských počítačů a zkomplikoval řadu městských agend: od plateb za vodné a stočné přes prodeje nemovitostí až po platby pokut za špatné parkování.
Jak popisuje server Ars Technica, některé agendy úředníci začali vyřizovat papírovou formou, místo městských počítačů zapnuli vlastní notebooky a nefungující IP telefony zkusili nahradit osobními mobily. Baltimore hostuje většinu svých systémů na vlastních serverech, jen některá oddělení využívají externí cloudové služby. Na externím hostingu (Amazon Web Services) běží například webová stránka města, která tak zůstala v provozu.
TIP: Jak ransomware funguje? Vyplatí se útočníkům zaplatit? A jak se před nákazou bránit? Odpovědi nabízí náš seriál Ransomware
Zatím není úplně jasné, jak konkrétně se ransomware do počítačů dostal. Server Ars Technica píše, že podle jeho zdrojů byl primárním zdrojem nákazy phishingový útok na jednoho z městských zaměstnanců.
Podle dostupných informací má každopádně jít o novou variantu známého malwaru RobbinHood. Jeho fungování nedávno detailně popsal server Bleeping Computer. Vycházel přitom z analýzy vzorku, který získala skupina bezpečnostních expertů MalwareHuntingTeam.
Podle nich se RobbinHood nešíří na další počítače zapojené v síti (dokonce napadený počítač hned na začátku od sítě odstřihne), ale musí být na každé PC instalován samostatně – například prostřednictvím administrátorských nástrojů pro správu. Útočníci také musí do adresáře C:\Windows\Temp\ uložit veřejný RSA šifrovací klíč, jehož přítomnost malware při svém spuštění zjišťuje.
Pokud jej najde, ukončí nejprve řadu služeb Windows, které mu stojí v cestě – včetně antivirových programů, e-mailového serveru, databází a dalších systémů. Poté začne (s využitím uloženého veřejného RSA klíče) šifrovat soubory, které jsou v počítači uloženy. Nakonec zobrazí zprávu o tom, že byl počítač unesen, a instrukce, jak za něj může majitel zaplatit výkupné.
Děkujeme, NSA
Navzdory tomuto popisu, jak má RobbinHood fungovat, přišel tento týden deník New York Times (NYT) se zprávou, podle níž byl jednou z komponent, která umožnila rychlé šíření malwaru v baltimorských systémech, nástroj EternalBlue. Jde o exploit, který vyvinula a delší dobu používala americká National Security Agency (NSA), než jej v roce 2017 ukradla a zveřejnila hackerská skupina The Shadow Brokers.
Exploit využívá chybu v Server Message Block (SMB) protokolu (CVE-2017–0144) některých verzí Windows a umožňuje útočníkovi spouštět v napadených počítačích svůj kód. Po úniku EternalBlue NSA na chybu upozornila Microsoft, který v dubnu 2017 vydal opravu chyby pro nejpoužívanější verze Windows.
Záhy se ale ukázalo, že zdaleka ne všichni majitelé PC své stroje zazáplatovali a že problém představují i systémy využívající starší, nepodporované verze Windows. Dva měsíce po vydání oprav zranitelnost ke svému šíření zneužil velký ransomware útok WannaCry, který dokázal zasáhnout asi 200 tisíc systémů v několika zemích světa. Microsoft pak vydal rychlou záplatu i pro další verze svého operačního systému.
Informaci NYT o roli EternalBlue v útoku na počítače Baltimoru ale někteří bezpečnostní experti nepovažují zdaleka za prokázanou. Upozorňují, že žádná z předchozích analýz ransomwaru RobbinHood přítomnost EternalBlue neprokázala. NSA zprávu odmítla komentovat.
Kdo šetří…
Pokud by se použití EternalBlue při útoku opravdu prokázalo, byla by na místě otázka, jak – a jestli vůbec – radnice udržovala operační systémy svých počítačů aktualizované.
Některé informace publikované v amerických médiích ostatně naznačují, že baltimorské IT oddělení už delší dobu nefunguje, jak by mělo. Podle místního serveru Baltimore Brew například město koncem minulého týdne málem přišlo i o svou webovou stránku. Nemohl za to ransomware, ale to, že IT oddělení včas nezaplatilo za její hosting.
Ve vedení městského IT se také podle serveru StateScoop za uplynulých pět let vystřídali čtyři lidé a teprve současný ředitel Frank Johnson, který přišel v roce 2017 z firmy Intel, sepsal historicky první městskou strategii pro ICT.
Píše v ní mimo jiné, že město s více než dvěma miliony obyvatel (včetně přilehlé aglomerace) své IT chronicky podfinancovává. V uplynulých letech do něj dávalo jen 2,5 % svého ročního rozpočtu (asi 65 milionů USD). Aby se Baltimore dostal na úroveň srovnatelně velkých měst, musel by přidat skoro jednou tolik (102–122 milionů USD), spíš by ale kvůli zanedbanému stavu infrastruktury potřeboval 128–156 milionů USD za rok, uvádí strategie.
ČLÁNKY DO MAILU