亚特兰大市审计师阿曼达·诺布尔在3月22日早上登录她的工作电脑后不久,她就知道情况不对劲。她桌面上的图标看起来不一样——在某些情况下被黑色矩形取代——而且她注意到桌面上的许多文件已被重命名为带有“weapologize”或“imsorry”扩展名。诺布尔打电话给该市的首席信息安全官报告了这个问题并留言。接下来,她拨打了帮助台的电话,并被保留了一段时间。“那时,我意识到办公室里遇到电脑问题的人不止我一个,”诺布尔说。
这些电脑问题是针对亚特兰大市的高调“勒索软件”网络攻击的一部分,这场攻击已经持续了近两周,并且尚未完全解决。在此期间,这座大都市一直在努力恢复员工电脑上的加密数据,并恢复市政网站上的服务。犯罪分子最初给了该市七天时间,以价值约 51,000 美元的加密货币比特币支付赎金,以获得其数据的解密密钥。最后期限在上周到来并过去了,但仍有几项服务处于离线状态,这表明该市可能没有支付赎金。当《大众科学》联系到市政府官员时,他们对此事不予置评。
例如,水务管理局仍然无法接受在线或电话支付水费和污水费,财务部门也无法通过其网页颁发营业执照。亚特兰大市法院也一直无法处理在线或亲自支付的罚单,因为系统中断,并且不得不重新安排一些听证会。亚特兰大市通讯主管安妮·托雷斯表示,该市出于安全预防措施自愿关闭了两项在线服务:哈茨菲尔德-杰克逊亚特兰大国际机场的 Wi-Fi 网络以及通过该市的 311 网站门户处理服务请求的能力。两者现在都已恢复在线,机场 Wi-Fi 于周二上午恢复。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的具有影响力的故事。
用于攻击亚特兰大的勒索软件名为 SamSam。像大多数恶意软件一样,它通常通过安全保护未更新的软件进入计算机网络。当攻击者发现网络中的漏洞时,他们会使用勒索软件加密那里的文件,并要求付款以解锁它们。今年早些时候,攻击者使用了 SamSam 的衍生版本锁定了印第安纳州格林菲尔德的 汉考克地区医院的文件。这家医疗机构支付了近 50,000 美元以检索患者数据。计算机安全公司 Rendition Infosec 的创始人杰克·威廉姆斯说:“用于攻击亚特兰大的 SamSam 勒索软件很有趣,因为它会进入网络并传播到多台计算机,然后锁定它们。“然后,受害者更有动力支付更高的赎金,以便重新控制被锁定的计算机网络。”
SamSam 一直是最成功的勒索软件程序之一,自 2015 年末首次出现以来,已赚取了估计 850,000 美元的赎金。相比之下,一年前 WannaCry 勒索软件被用于攻击欧洲医院、电信和铁路时,成为头条新闻,但仅获得了约 140,000 美元的比特币。
该市的技术部门——亚特兰大信息管理 (AIM)——联系了当地执法部门,以及联邦调查局、国土安全部、特勤局和独立的法证专家,以帮助评估损失并调查此次攻击。攻击者为该市建立了一个在线支付门户,但在一家当地电视台发布了赎金票据的屏幕截图(其中包括指向用于收集赎金的比特币钱包的链接)后不久,关闭了该网站。
威廉姆斯说,一些线索表明亚特兰大可能没有向攻击者支付赎金。“勒索软件团伙通常会在受害者让执法部门介入后切断通讯,”他说。“亚特兰大在检测到恶意软件后不久举行的新闻发布会上明确表示”他们已经这样做了。服务恢复在线的速度缓慢也表明,网络罪犯在没有解密该市文件的情况下放弃了亚特兰大,威廉姆斯说。“如果是这样,该市的 IT 人员在过去一周一直在使用未受勒索软件攻击的备份数据重建亚特兰大的在线系统,”他说,并补充说任何未备份的数据都可能“永远丢失”。
纽约大学坦顿工程学院计算机科学与工程教授贾斯汀·卡波斯说:“如果该市支付了赎金,我本以为他们会比现在更快地启动系统。“假设该市没有支付赎金,他们完全有能力恢复系统,这表明他们至少在备份数据方面做得很好。”
笼罩在亚特兰大计算机网络上空的一线希望是,攻击者不太可能专门针对亚特兰大,威廉姆斯说。攻击者可能在互联网上寻找易受攻击的计算机进行攻击,当他们偶然发现亚特兰大的网络时,勒索软件会自动加密其数据。他补充说,这可能解释了为什么他们在攻击亚特兰大后,并在执法部门介入后保持沉默。“他们不一定想利用一个大城市,而且可能不值得被抓住,”威廉姆斯说。巴尔的摩官员在上周也得出了类似的结论,此前勒索软件攻击导致该市的计算机辅助调度系统无法处理 911 和 311 呼叫。巴尔的摩的技术人员将这次攻击归因于机会主义黑客,他们利用了旨在保护该市网络的防火墙的意外更改,而这些更改反而使其暴露了大约 24 小时。
自从勒索软件攻击以来,市审计师诺布尔一直在使用她的个人笔记本电脑和市政府发放的移动电话来工作。截至周二下午,她尚未尝试使用她的工作电脑,尽管 AIM 上周已允许市政府雇员使用他们的机器。作为恢复工作的一部分,雇员们在上周三被告知要重启他们的电脑并更改他们的密码,诺布尔说。
卡波斯说,担心勒索软件锁定其工作或个人电脑的人们应该备份他们的数据,不仅要备份到 Google Drive 或 Apple 的 iCloud 等网络服务,还要备份到可以从电脑断开连接的实际硬盘上。威廉姆斯说,针对亚特兰大、巴尔的摩和其他城市的勒索软件攻击应该让各个城市思考,如果他们处于相同的境地,情况是否会更好,他补充说,“如果它可能发生在他们身上,它也可能发生在您身上。”