レジスター紙の取材によると、金曜日、サンフランシスコの公共交通機関の数百台のコンピュータが、ハードドライブを暗号化するランサムウェアに感染し、データのロックを解除するために100ビットコインを要求した。
土曜日は市内では感謝祭後の買い物で賑わう日で、券売機は停止され、乗客はミュニ・ライトレール・システムに無料で乗車できた。その間、IT作業員らは混乱の片付けに奔走した。
El Regが確認した電子メールのやり取りの中で、HDDCryptor マルウェアの亜種がサンフランシスコ市交通局内のコンピュータ 2,112 台を脅かしたと、このランサムウェアの主が主張している。
これらのシステムには、オフィスの管理用デスクトップ、CADワークステーション、メールサーバーとプリントサーバー、従業員のノートパソコン、給与計算システム、SQLデータベース、遺失物管理端末、駅構内のキオスクPCなどが含まれているようです。ワーム型のマルウェアは自動的に機関のネットワークを攻撃し、組織のドメインコントローラーに到達してネットワーク接続されたWindowsシステムに侵入したと伝えられています。機関のネットワークには、約8,500台のPC、Mac、その他の機器が接続されています。
脆弱なコンピューターが感染し、ストレージが暗号化された後、マルウェアによって再起動され、オペレーティングシステムが起動する代わりに、「ハッキングされました。すべてのデータが暗号化されました。キーについては ([email protected]) ID:601 にお問い合わせください。」というメッセージが表示されました。
HDDCryptorとその類似マルウェアは、ランダムに生成された鍵を用いてローカルハードドライブとネットワーク共有ファイルを暗号化し、可能であればハードディスクのMBRを上書きすることで、システムが正常に起動できないようにします。感染は通常、従業員がメールやダウンロードに含まれる不正実行ファイルを誤って開くことで発生し、その後ネットワーク全体に感染が広がります。
100ビットコインの身代金(現在約7万3000ドル)が支払われると、犯罪者は暗号化されたドライブとファイルを復元するためのマスター復号鍵を渡すとされている。交通局が身代金を支払う予定のビットコインウォレットは空のままだ。
マルウェアの背後にいる恐喝犯たちは、市当局から今のところ連絡すら取れず、ましてや金銭の支払いを申し出られたこともないと訴えている。彼らは市当局に連絡を取る猶予を1日ほど与えた後、立ち去ると述べた。また、復旧可能であることを証明するため、1台のマシンを1ビットコインで解読するとも申し出た。
犯人らはさらに、侵入したネットワークから30GBの内部文書、データベース、従業員ファイルを盗み出したと主張し、身代金を支払わなければ情報を漏らすと脅迫している。
「当社のソフトウェアは完全に自動で動作しており、標的型攻撃は行いません。SFMTAのネットワークは非常にオープンな状態にあり、2,000台のサーバー/PCがソフトウェアに感染しました」と、ランサムウェアの首謀者は日曜日にメールで声明を発表しました。「SFMTAの責任者からの連絡を待っていますが、彼らは取引を望んでいないと思います。そのため、このメールアカウントは明日閉鎖します。」
あなたはハッキングされました…土曜日にサンフランシスコ市営地下鉄のキオスクのパソコン画面に残されたメッセージ(写真:コリン・ハイルバット)
一方、バスと地下鉄・地上鉄道のミュニ(Muni)は運行を継続しています。ただし、ミュニの改札口は金曜日の夜から開放されており、無料で乗車できます。感染拡大を受け、切符販売システムは「運休」のメッセージが表示され停止しています。
「サイバー攻撃があったことは確認できる」と交通局の広報担当ポール・ローズ氏はザ・レジスター紙に語った。
お客様への影響を最小限に抑えるため、金曜日と土曜日に改札口を開けました。交通サービス、安全システム、お客様の個人情報への影響はありません。この事象は現在調査中であるため、現時点では詳細をお伝えすることは適切ではありません。
米国土安全保障省とFBIも現在、運輸局のこの事件への協力を行っていると伝えられている。
ランサムウェアハッカーが盗んだとされる30GBの文書に関して、ローズ氏は「我々が入手した情報と国土安全保障省との協議に基づき、彼らは重要なデータファイルにアクセスできないと考えている」と付け加えた。
サンフランシスコの公共交通機関は、病院、企業、警察署、その他の組織に続き、ランサムウェアの被害に遭いました。ファイル暗号化ソフトウェアを拡散する恐喝者に金銭を支払う組織もあれば、支払わない組織もあります。一方、シスコ傘下のTalosは、MBRをランサムウェアなどのマルウェアから保護するためのオープンソースツールを提供しています。®
追加更新
市当局は月曜日、「攻撃の主な影響はオフィスのコンピューター約900台に及んだ」と述べた。
「SFMTAは身代金の支払いを一度も考えたことはない」と、同局の広報担当クリステン・ホランド氏は付け加えた。
当社にはシステムを復旧できる情報技術チームがあり、現在復旧作業を行っています。既存のバックアップシステムにより、影響を受けたコンピューターのほとんどを今朝復旧させることができました。情報技術チームは、残りのコンピューターも1、2日中に復旧できると予想しています。
ホランド氏によると、「SFMTAネットワークは外部から侵入されておらず、ハッカーがファイアウォールを突破して侵入したわけでもありません。Muniの運行と安全性にも影響はなく、顧客決済システムもハッキングされていません」とのことだ。脅迫犯によるデータの窃取もなかったと伝えられている。
「マルウェアを発見した直後、我々は直ちに国土安全保障省(DHS)に連絡し、ウイルスの特定と封じ込めに努めました。この件については、FBIとDHSと緊密に連携しています」とホランド氏は続けた。
一方、同じく月曜日には、どうやら誰かがセキュリティ質問の答えを推測して、ランサムウェアの犯人のメールアカウントを乗っ取ることに成功したようだ。
ハッカーは、OracleのWebLogic Serverを含む多数のソフトウェアに存在するApache Commons Collectionsのデシリアライゼーション脆弱性を悪用してSFMTAネットワークに侵入したと考えられています。正確な侵入経路は不明です。
ヒント:この記事の作成に協力してくれたコンピューター セキュリティ研究者の Mike Grover 氏に感謝します。
