Các hệ thống tin học của chính quyền thành phố Baltimore ngưng hoạt động vì mã độc

15:07 | 20/05/2019

Các hệ thống tại một số cơ quan của chính quyền thành phố Baltimore (Maryland, Hoa Kỳ) đã bị ngoại tuyến vào ngày 7/5/2019, bởi một cuộc tấn công của mã độc tống tiền. Cảnh sát, cứu hỏa và hệ thống ứng phó khẩn cấp đã không bị ảnh hưởng bởi vụ tấn công, nhưng gần như mọi bộ phận khác của chính quyền thành phố đã bị ảnh hưởng theo một cách nào đó.

Các cuộc gọi đến văn phòng Công nghệ thông tin của thành phố được trả lời bằng băng ghi âm “Chúng tôi biết rằng các hệ thống hiện đang ngừng hoạt động. Chúng tôi đang nỗ lực giải quyết vấn đề nhanh nhất có thể”.

Lester Davis, người phát ngôn của văn phòng thị trưởng Baltimore, đã nói với tờ Baltimore Sun Khan rằng cuộc tấn công này tương tự như vụ tấn công vào thành phố Greenville, Bắc Carolina vào tháng 4/2019.

Giám đốc thông tin của Baltimore, Frank Johnson, đã xác nhận trong một cuộc họp báo rằng phần mềm độc hại là mã độc tống tiền RobbinHood và FBI đã xác định đây là "biến thể khá mới" của phần mềm độc hại. Biến thể mới này của RobbinHood đã xuất hiện trong tháng Tư vừa qua.

Nhà nghiên cứu bảo mật Vitali Kremez, người gần đây đã dịch ngược một mẫu của RobbinHood, nói rằng phần mềm độc hại dường như chỉ nhắm vào các tệp trên một hệ thống duy nhất và không lây lan qua các chia sẻ mạng. Người ta tin rằng nó được lan truyền trực tiếp đến các máy riêng lẻ thông qua PsExec hay domain controller bị nhiễm độc. Lý do là bản thân mã độc không có bất kỳ khả năng lan truyền mạng nào và được triển khai cho từng máy riêng lẻ. Điều đó có nghĩa là kẻ tấn công phải có quyền truy cập cấp quản trị vào một hệ thống trên mạng do cách thức mã độc này tương tác với thư mục C:\Windows\Temp, Kremez giải thích.

Ngoài việc yêu cầu thực thi trên từng máy, RobbinHood cũng yêu cầu phải có khóa RSA công khai trên máy tính được nhắm tới để bắt đầu mã hóa các tệp. Điều đó có nghĩa là kẻ tấn công có thể triển khai nó theo nhiều bước, từ việc có quyền truy cập vào mạng, tìm cách có được quyền quản trị domain controller hoặc PsExec, triển khai và lưu khóa RSA công khai cùng mã độc trên mỗi máy rồi mới thực thi nó.

Trước khi bắt đầu mã hóa, mã độc RobbinHood tắt tất cả các kết nối đến các thư mục chia sẻ trên mạng bằng lệnh “NET USE */ DELETE/Y” và sau đó chạy 181 lệnh tắt dịch vụ Windows, bao gồm vô hiệu hóa nhiều công cụ bảo vệ phần mềm độc hại, agent backup và các dịch vụ thư điện tử, cơ sở dữ liệu và quản trị Internet Server Server (IIS). Chuỗi lệnh đó bắt đầu bằng một nỗ lực để đóng cửa agent của Kaspersky AVP, sẽ tạo ra rất nhiều tiếng ồn trên bất kỳ hệ thống quản lý nào theo dõi nhật ký sự kiện của hệ thống Windows.
Chỉ hơn một năm trước, hệ thống 911 của Baltimore đã bị tấn công bởi mã độc tống tiền khi quá trình bảo trì hệ thống mạng tạo ra khoảng trống trong tường lửa - dù chỉ trong khoảng thời gian ngắn. Sự thay đổi cấu hình tường lửa rõ ràng chỉ xuất hiện bốn giờ trước khi những kẻ tấn công khai thác nó – nhiều khả năng thông qua việc dò quét tự động.
Johnson nhấn mạnh rằng các hệ thống bảo mật thông tin của thành phố đã được kiểm toán và được cập nhật. Ông nói hệ thống đã được đánh giá nhiều lần và họ đã nhận được nhiều chứng nhận kiểm tra an toàn. Tuy nhiên, kẻ xấu vẫn có khả năng vượt trội.
Trong cuộc họp báo, Thị trưởng mới của Baltimore, ông Bernard “Jack” Young, nói rằng không chắc các hệ thống của thành phố sẽ ngoại tuyến trong bao lâu. "Có một hệ thống dự phòng với bộ phận CNTT", ông nói, "nhưng chúng tôi không thể cứ thế khôi phục dữ liệu vì chúng tôi không biết virus đã thâm nhập sâu tới mức nào. Vì vậy, tôi không muốn mọi người nghĩ rằng Baltimore không có một bản sao lưu". Trong khi chờ xử lý, Young nói, nhân viên thành phố sẽ phải chuyển sang làm việc thủ công.