亞特蘭大市審計師阿曼達·諾布林在3月22日早上登入她的工作電腦後不久,她就知道情況不對勁。她桌面上的圖示看起來不一樣——在某些情況下被黑色矩形取代——而且她注意到桌面上的許多檔案已被重新命名為帶有“weapologize”或“imsorry”副檔名。諾布林打電話給該市的首席資訊安全官報告了這個問題並留言。接下來,她撥打了幫助臺的電話,並被保留了一段時間。“那時,我意識到辦公室裡遇到電腦問題的人不止我一個,”諾布林說。
這些電腦問題是針對亞特蘭大市的高調“勒索軟體”網路攻擊的一部分,這場攻擊已經持續了近兩週,並且尚未完全解決。在此期間,這座大都市一直在努力恢復員工電腦上的加密資料,並恢復市政網站上的服務。犯罪分子最初給了該市七天時間,以價值約 51,000 美元的加密貨幣比特幣支付贖金,以獲得其資料的解密金鑰。最後期限在上週到來並過去了,但仍有幾項服務處於離線狀態,這表明該市可能沒有支付贖金。當《大眾科學》聯絡到市政府官員時,他們對此事不予置評。
例如,水務管理局仍然無法接受線上或電話支付水費和汙水費,財務部門也無法透過其網頁頒發營業執照。亞特蘭大市法院也一直無法處理線上或親自支付的罰單,因為系統中斷,並且不得不重新安排一些聽證會。亞特蘭大市通訊主管安妮·託雷斯表示,該市出於安全預防措施自願關閉了兩項線上服務:哈茨菲爾德-傑克遜亞特蘭大國際機場的 Wi-Fi 網路以及透過該市的 311 網站門戶處理服務請求的能力。兩者現在都已恢復線上,機場 Wi-Fi 於週二上午恢復。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。
用於攻擊亞特蘭大的勒索軟體名為 SamSam。像大多數惡意軟體一樣,它通常透過安全保護未更新的軟體進入計算機網路。當攻擊者發現網路中的漏洞時,他們會使用勒索軟體加密那裡的檔案,並要求付款以解鎖它們。今年早些時候,攻擊者使用了 SamSam 的衍生版本鎖定了印第安納州格林菲爾德的 漢考克地區醫院的檔案。這家醫療機構支付了近 50,000 美元以檢索患者資料。計算機安全公司 Rendition Infosec 的創始人傑克·威廉姆斯說:“用於攻擊亞特蘭大的 SamSam 勒索軟體很有趣,因為它會進入網路並傳播到多臺計算機,然後鎖定它們。“然後,受害者更有動力支付更高的贖金,以便重新控制被鎖定的計算機網路。”
SamSam 一直是最成功的勒索軟體程式之一,自 2015 年末首次出現以來,已賺取了估計 850,000 美元的贖金。相比之下,一年前 WannaCry 勒索軟體被用於攻擊歐洲醫院、電信和鐵路時,成為頭條新聞,但僅獲得了約 140,000 美元的比特幣。
該市的技術部門——亞特蘭大資訊管理 (AIM)——聯絡了當地執法部門,以及聯邦調查局、國土安全部、特勤局和獨立的法證專家,以幫助評估損失並調查此次攻擊。攻擊者為該市建立了一個線上支付門戶,但在一家當地電視臺釋出了贖金票據的螢幕截圖(其中包括指向用於收集贖金的比特幣錢包的連結)後不久,關閉了該網站。
威廉姆斯說,一些線索表明亞特蘭大可能沒有向攻擊者支付贖金。“勒索軟體團伙通常會在受害者讓執法部門介入後切斷通訊,”他說。“亞特蘭大在檢測到惡意軟體後不久舉行的新聞釋出會上明確表示”他們已經這樣做了。服務恢復線上的速度緩慢也表明,網路罪犯在沒有解密該市檔案的情況下放棄了亞特蘭大,威廉姆斯說。“如果是這樣,該市的 IT 人員在過去一週一直在使用未受勒索軟體攻擊的備份資料重建亞特蘭大的線上系統,”他說,並補充說任何未備份的資料都可能“永遠丟失”。
紐約大學坦頓工程學院計算機科學與工程教授賈斯汀·卡波斯說:“如果該市支付了贖金,我本以為他們會比現在更快地啟動系統。“假設該市沒有支付贖金,他們完全有能力恢復系統,這表明他們至少在備份資料方面做得很好。”
籠罩在亞特蘭大計算機網路上空的一線希望是,攻擊者不太可能專門針對亞特蘭大,威廉姆斯說。攻擊者可能在網際網路上尋找易受攻擊的計算機進行攻擊,當他們偶然發現亞特蘭大的網路時,勒索軟體會自動加密其資料。他補充說,這可能解釋了為什麼他們在攻擊亞特蘭大後,並在執法部門介入後保持沉默。“他們不一定想利用一個大城市,而且可能不值得被抓住,”威廉姆斯說。巴爾的摩官員在上週也得出了類似的結論,此前勒索軟體攻擊導致該市的計算機輔助排程系統無法處理 911 和 311 呼叫。巴爾的摩的技術人員將這次攻擊歸因於機會主義駭客,他們利用了旨在保護該市網路的防火牆的意外更改,而這些更改反而使其暴露了大約 24 小時。
自從勒索軟體攻擊以來,市審計師諾布林一直在使用她的個人筆記型電腦和市政府發放的行動電話來工作。截至週二下午,她尚未嘗試使用她的工作電腦,儘管 AIM 上週已允許市政府僱員使用他們的機器。作為恢復工作的一部分,僱員們在上週三被告知要重啟他們的電腦並更改他們的密碼,諾布林說。
卡波斯說,擔心勒索軟體鎖定其工作或個人電腦的人們應該備份他們的資料,不僅要備份到 Google Drive 或 Apple 的 iCloud 等網路服務,還要備份到可以從電腦斷開連線的實際硬碟上。威廉姆斯說,針對亞特蘭大、巴爾的摩和其他城市的勒索軟體攻擊應該讓各個城市思考,如果他們處於相同的境地,情況是否會更好,他補充說,“如果它可能發生在他們身上,它也可能發生在您身上。”