Attacco ransomware obbliga la città di New Orleans al blocco di server e sistemi

La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città. 

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l'accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E' stato diramato quindi l'ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L'emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c'è

Una particolarità, confermata anche in conferenza stampa dal Sindaco di New Orleans LaToya Cantrell, è che non è stata ritrovata nessuna nota di riscatto sui sistemi infetti e non ci sono state nemmeno richieste di riscatto pervenute in forme alternative. Non è ancora chiaro se ciò sia avvenuto per precisa scelta degli attaccanti o se la nota non si sia generata in tempo, prima della disconnessione di computer e server (operazione che ha mitigato non poco i danni e stroncato il propagarsi del ransomware).

Quale ransomware è stato usato?

La redazione di Bleeping Computer, data l'assenza di note ufficiali che indicassero esplicitamente la variante di malware usata, ha contattato gli sviluppatori di Maze, un ransomware del quale abbiamo già parlato spesso perchè protagonista ricorrente di questa ondata di attacchi ransomware che sta bersagliando enti pubblici, ospedali, scuole (ne parliamo poco più avanti) e aziende, anche in Italia. 

Ma gli sviluppatori di Maze hanno negato categoricamente il loro coinvolgimento in questo attacco.

Il giorno dopo l'attacco, il 14 Dicembre, il servizio di scansione VirusTotal riceve alcuni campioni di file criptati e vengono inoltre caricati alcuni dump di memoria relativi a file eseguibili sospetti: l'indirizzo di upload è un IP negli Stati Uniti. Uno di questi dump, come ha mostrato il ricercatore Colin Cowie, contiene numerosi riferimenti alla città di New Orleans e ad un ransomware preciso, Ryuk. 

I dump di memoria sono una fotografia della memoria usata da un applicazione mentre questa è in esecuzione: vi si possono estrarre molte informazioni utili, file name, comandi, stringhe ecc... Il dump analizzato da Cowie, relativo ad un file eseguibile di nome 'yoletby.exe' contiene numerosi riferimenti alla città di New Orleans, inclusi domain name, domain controller, indirizzi IP interni, nomi utenti, condivisioni di rete ecc... vi si trovano riferimenti all'editing del file name con l'estensione .ryk e alla creazione di una nota di riscatto RyukReadMe.html

Dall'incrocio di alcuni dump di alcuni campioni caricati su Virus Total, è stato individuato l'eseguibile responsabile dell'infezione della città di New Orleans: rinominato v2.exe, una volta eseguito installa il ransomware Ryuk sui sistemi. 

Una vera e propria cyber guerra

L'attacco alla città di New Orleans è stato preceduto di qualche giorno da un altro attacco ransomware che ha colpito la città di Pensacola, in Florida. Poco tempo prima era finita nel mirino la Jackson County in Georgia. Lo scorso mese l'ufficio delle operazioni automobilistiche della Louisiana ha subito lo stesso destino.

Per approfondire > Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Dal Gennaio 2019 sono state ben 1039 le isitituzioni scolastiche colpite da ransomware negli Stati Uniti, 72 i distretti scolastici / istituti educativi che hanno riportato pubblicamente l'incidente. 11 dei 72 distretti colpiti hanno visto i propri sistemi infetti a partire dalla seconda metà di Ottobre: il risultato è stato di 266 scuole colpite. 

La situazione è così grave che il Senato degli Stati Uniti ha approvato il 'DHS Cyber Hunt and Incident Response Teams Act', una legge per autorizzare il Dipartimento di Sicurezza Nazionale (DHS) ad organizzare e mantenere team di cyber "cacciatori" e esperti di sicurezza IT per individuare i cyber attaccanti e aiutare sia gli enti pubblici che i privati a difendersi dai ransomware e da altri tipi di cyber attacchi. Il team di risposta fornirà consiglio e supporto tecnico in dettaglio su come migliorare le proprie difese e rafforzare i sistemi IT contro ransomware e altre tipologie di malware molto diffuse. I due team saranno finanziati a livello federale.