Часть администрации Аляски была вынуждена восстановить свою цифровую инфраструктуру почти с нуля после атаки с помощью вируса шифрования BitPaymer. В течение недели должностные лица администрации должны были использовать пишущие машинки, поскольку значительная часть цифровых систем была не в порядке, сообщает kratko-news.com.
Атака 24 июля сделала 650 рабочих станций и серверов неуправляемыми в администрации района Матануска-Суситна Боро в столице Анкориджа. К 30 июля с помощью внешних специалистов было восстановлено 110 рабочих станций, сообщает kratko-news.com.
По словам Эрика Уайатта, ИТ-директора в администрации, на сеть нападают сложные вредоносные программы с «троянами». Программа, которую Уайатт называл «вирусом», пыталась попасть в архив, но безуспешно. Уайатт утверждает, что с инфраструктурой была реализована «очень хитрая, хорошо организованная атака». В техническом отчете, опубликованном ИТ-директором, вирус называется BitPaymer.
Это программное обеспечение для шифрования, также известное как FriedEx, впервые было замечено в июле 2017 года. К августу этого года стали жертвами нескольких больниц в Шотландии. Согласно информации компании безопасности ESET, есть основания полагать, что FriedEx была разработана той же преступной группой, которая создала ботнет Necurs и Troy Necurs.
Вредоносная программа попадает в инфраструктуру Matanus-Susita Boro в начале мая и остается неактивной до 24 июля. Неделей ранее, 17 июля, McAfee Anti-Virus обнаруживает «троянский конь» BitPaymer, но только на компьютерах под управлением Windows 7. Все остальные компоненты, включая модуль шифрования, остались незамеченными, сообщает Eric Wyatt.
«Мы написали сценарий, который должен был удалить все идентифицированные компоненты, которые McAfee пропустил через всех машин, и мы планировали выпустить его в понедельник, 23 июля. Мы также отменили все пароли пользователей, начали принудительное изменение паролей и изменили пароли всех администраторов и профилей пользователей», — сказал Уайатт.
По его словам, контр-атака спровоцировала вирус на запуск компонента шифрования. «Возможно, это нововведение автоматизировано, то есть запускается «кнопка тревоги», или наши действия просматриваются кем-то другим, кто дал команду серверу управления для начала атаки», — сказал Уайатт.
В результате атаки 500 вирусов и 120 из 150 серверов Matanus-Susitna пострадали от вируса шифрования. У Уайатта не было выбора, кроме как отключить сеть, связаться с ФБР и начать восстановление. Часть данных извлекается из резервной копии.
Уайатт не раскрывает, был ли выкуп получен злоумышленником. Эксперты, участвовавшие в расследовании нападений, говорят, что администрация Матануски-Сусита Боро стала 210-й жертвой криптового вируса. Жертвой BitPaymer является также администрация города Вальдес.
