L’attacco ransomware ha colpito la città di Knoxville nel Tennessee la settimana scorsa, causando interruzioni in vari servizi.
n
n
La città di Knoxville, Tennessee, si sta riprendendo da un attacco di ransomware che ha messo offline la rete della città e ha impedito agli agenti di polizia di rispondere a incidenti stradali non letali. L’incidente è avvenuto mercoledì e ha interrotto i sistemi fino a giovedì. Anche la rete informatica interna della città, il sito Web pubblico e i sistemi giudiziari sono stati colpiti, costringendo a riprogrammare le sessioni giudiziarie del venerdì.
n
n
“Il nostro team di Information Technology ha agito rapidamente e ha seguito i protocolli di best practice per arrestare la rete di computer della città, identificare e isolare i problemi e ridurre al minimo i danni”,
n
n
secondo un comunicato stampa ufficiale della città inviato via e-mail a Threatpost.
n
n
“Gli uffici e i servizi della città sono aperti e disponibili come al solito, sebbene i visitatori degli uffici della città possano incontrare alcuni inconvenienti. I dipartimenti comunali si stanno adeguando di conseguenza per soddisfare le esigenze dei residenti e delle imprese. “
n
n
Mentre i funzionari non hanno ancora confermato una fonte iniziale del ransomware, i rapporti locali indicano un’e-mail di spear-phishing, che è stata aperta da un dipendente della città. Nessuna informazione finanziaria o personale è stata compromessa, secondo le fonti governative.
n
Glenn Jacobs, il sindaco della contea di Knox (che comprende la città di Knoxville), ha detto giovedì, tramite Twitter, che mentre la contea e la città condividono l’infrastruttura di rete di base, non ci sono prove di compromessi sulla rete della contea.
n
n
“Abbiamo ritirato e reciso la connettività tra tutte le nostre agenzie condivise fino a quando non siamo completamente sicuri che il problema sia stato contenuto”, ha affermato.
n
n
Secondo le notizie locali, la città ha ricevuto una richiesta di riscatto non specificata dagli aggressori. Threatpost ha contattato i funzionari della città di Knoxville per ulteriori informazioni sulla loro intenzione di pagare il riscatto o meno.
n
Brett Callow, con Emsisoft, ha dichiarato a Threatpost che, sebbene nessun gruppo di ransomware sia stato ufficialmente collegato all’attacco, “sulla base degli attuali livelli di attività dei gruppi di ransomware e dei profili delle vittime precedenti, i sospetti più probabili per questo attacco sono probabilmente Maze, DoppelPaymer e NetWalker – tutto ciò minaccia la pubblicazione dei dati”, ha detto a Threatpost.
n
Nel 2019, un totale di 113 enti statali o municipali sono state colpite dal ransomware. Knoxville è la 51a città colpita nel 2020, ha affermato Callow.
n
L’anno scorso, due città della Florida – Lake City e Riviera Beach – sono state entrambe colpite da attacchi ransomware e hanno deciso di ripagare gli hacker. E, dopo che un’eruzione di scuole pubbliche è stata colpita da ransomware a luglio, il governatore della Louisiana ha dichiarato lo stato di emergenza in tutto lo stato. Nel frattempo, la città di Baltimora è un’altra vittima di alto profilo del ransomware, che ha colpito a maggio e ha bloccato alcuni servizi cittadini come bollette dell’acqua, permessi e altro, con gli aggressori che chiedono un riscatto di 76.000 dollari. E nel 2018, diversi sistemi cittadini di Atlanta sono stati famigerati paralizzati dopo che un attacco di ransomware ha estorto il comune a $ 51.000.
n
Ad agosto, 22 enti del Texas – la maggior parte delle quali erano governi locali – sono state colpite da un attacco di ransomware che secondo i funzionari del Texas fa parte di un attacco mirato lanciato da un singolo attore di minaccia.
n
n
n
“I criminali informatici tendono a prendere di mira le organizzazioni che richiedono il minimo sforzo per hackerare per ottenere il massimo profitto, e i governi statali e locali di solito soddisfano il conto”,
n
n
ha dichiarato Chris Kennedy, CISO e vicepresidente del successo dei clienti di AttackIQ, in una e-mail.
n
n
“Queste agenzie governative più piccole spesso si nascondono lungo le vecchie infrastrutture legacy e quella vecchia infrastruttura legacy è facile da sfruttare per i malintenzionati”.
n
n