Baltimore Still Reeling From Ransomware Attack

ボルチモア市は、5月7日に行われたランサムウェア攻撃の被害にまだ対処しています。警察、消防、緊急サービスはこのマルウェアの影響を受けませんでしたが、それ以上の被害を防ぐためにほとんどのサービスは中断またはオフラインにされました。影響を受けるネットワークを復元することは困難な作業であることが証明されており、侵害の2週間後には、多くのシステムが利用できないままになっています。事実、ボルチモアの新市長バーナード "ジャック"ヤングが5月17日に声明を出し、街のオンライン機能の部分的な修復には数週間、より複雑なシステムのいくつかには数ヶ月かかるかもしれないと述べた。この声明はまた、一流のサイバーセキュリティ専門家が市の役人たちと関わりをもって取り組んできたことを明らかにした。

その間、住民と市の労働者の両方が回避策を見つけるために混乱していますが、水道代やその他の市の料金（駐車券など）はオンラインで処理できません。ネットワークの問題のため、すべての不動産購入も保留にされました。 5月20日に市と郡の顧客に対する後発の水道代料金はその後中断され、不動産取引のための手動の回避策が実施されました。

ボルチモアがランサムウェア攻撃の犠牲になったのは今回が初めてではありません。 2018年に、攻撃者が通信ネットワークのメンテナンスによって引き起こされたファイアウォールの変更を悪用した後に、市の911システムは解体されました。

ファイルはRobbinHood Ransomwareで暗号化されました

Baltimoreの最高情報責任者Frank Johnsonは、システムへの混乱がRobbinHood Ransomwareの新しい亜種によって引き起こされたことを確認しました。セキュリティ研究者のVitaly KremezがRobbingHoodのサンプルをリバースエンジニアリングする前に、この特定のランサムウェアがどのように動作するかについての詳細はほとんどありませんでした。彼の調査結果によると、ランサムウェアは侵入したネットワークを介して自分自身を拡散させることはできません。それとは反対に、RobbinHoodはコマンド " cmd.exe / c net use * / DELETE / Y "を介してコンピュータシステム上のすべてのネットワーク共有を切断します。これにより、Kremezはランサムウェアが各感染コンピュータに個別にプッシュされたと結論付けましたドメインコントローラ、またはPsExecなどのフレームワーク。

また、RobbinHood Ransomwareは、起動されると、標的となるファイルの種類の暗号化を妨げる可能性がある181 Windowsプロセスを終了しようとします。これらには、データベース、メールサーバー、ウイルス対策プログラム、バックアップエージェント、およびマルウェアの操作を妨害する可能性があるその他のソフトウェアが含まれます。暗号化プロセス中に、身代金メモを含むいくつかの異なるファイルがマシンに投下されます。この犯罪者は、感染したコンピュータごとに3ビットコイン、または影響を受けるすべてのシステムの復号化に13万ビットコイン（およそ10万ドル相当）の支払いを要求します。ボルチモア当局者は、彼らは犯罪者にいかなる支払いもしないと述べています。