A cidade de Dallas, no Texas, disse nesta semana que o ataque de ransomware Royal que a forçou a desligar todos os sistemas de TI em maio começou com uma conta roubada.
O Royal obteve acesso à rede da cidade através de uma conta de serviço de domínio roubada no início de abril e manteve acesso aos sistemas comprometidos entre 7 de abril e 4 de maio.
Durante esse período, eles coletaram e exfiltraram com sucesso 1,169 TB de arquivos, com base na análise de dados de registro do sistema realizada por funcionários da cidade e especialistas externos em cibersegurança.
A gangue também preparou a fase de implantação de ransomware, instalando sinais de comando e controle do Cobalt Strike nos sistemas da cidade. Às 2 da manhã do dia 3 de maio, o Royal começou a implantar as cargas de ransomware, usando ferramentas administrativas legítimas da Microsoft para criptografar servidores.
Após detectar o ataque, a cidade iniciou esforços de mitigação, tirando do ar servidores de alta prioridade para impedir o progresso do Royal.
Simultaneamente, iniciou esforços de restauração de serviços com a ajuda de equipes internas e externas de especialistas em cibersegurança.
O processo de restaurar todos os servidores levou pouco mais de 5 semanas, de 9 de maio, quando o servidor financeiro foi reativado, a 13 de junho, quando o último servidor afetado pelo ataque, o servidor de gerenciamento de lixo, foi restaurado.
"A cidade informou ao TxOAG que as informações pessoais de 26.212 residentes do Texas e um total de 30.253 indivíduos foram potencialmente expostas devido ao ataque," disse a cidade em uma análise post-mortem publicada esta semana.
"O site do OAG indicou que informações pessoais, como nomes, endereços, informações de segurança social, informações de saúde, informações de seguro de saúde e outras informações foram expostas pelo Royal."
Até agora, o conselho da cidade de Dallas reservou um orçamento de 8,5 milhões de dólares para os esforços de restauração do ataque de ransomware, com os custos finais a serem compartilhados mais tarde.
Dallas é a quarta maior área metropolitana e a nona maior cidade dos Estados Unidos, com uma população de aproximadamente 2,6 milhões de pessoas.
A mídia local relatou pela primeira vez que as comunicações da polícia da cidade e os sistemas de TI foram desligados na manhã de segunda-feira, 3 de maio, devido a um suspeito ataque de ransomware.
"Na manhã de quarta-feira, as ferramentas de monitoramento de segurança da cidade notificaram nosso Centro de Operações de Segurança (SOC) de que um provável ataque de ransomware havia sido lançado em nosso ambiente.
Posteriormente, a cidade confirmou que vários servidores foram comprometidos com ransomware, impactando várias áreas funcionais, incluindo o site do Departamento de Polícia de Dallas", explicou a cidade de Dallas em um comunicado emitido em 3 de maio.
"A equipe da cidade, juntamente com seus fornecedores, está trabalhando ativamente para isolar o ransomware para evitar sua propagação, para remover o ransomware de servidores infectados e para restaurar quaisquer serviços atualmente impactados.
O prefeito e o conselho da cidade foram notificados do incidente de acordo com o Plano de Resposta a Incidentes (IRP) da cidade."
Impressoras de rede na rede da cidade de Dallas começaram a imprimir notas de resgate na manhã do incidente, permitindo que o BleepingComputer confirmasse que a gangue de ransomware Royal era responsável pelo ataque, após uma foto da nota ter sido compartilhada conosco.
Acredita-se que a gangue de ransomware Royal seja uma ramificação da gangue de crimes cibernéticos Conti, ganhando destaque depois que a Conti encerrou as operações.
Em seu lançamento, em janeiro de 2022, o Royal inicialmente usou cripto-ransomwares de outras operações, como ALPHV/BlackCat, para evitar chamar a atenção.
No entanto, eles subsequentemente começaram a utilizar seu próprio cripto-ransomware, Zeon, em seus ataques ao longo do ano.
A operação do ransomware sofreu um rebranding no final de 2022, adotando o nome "Royal" e surgindo como uma das gangues de ransomware mais ativas visando empresas.
Embora o Royal seja conhecido por explorar falhas de segurança em dispositivos publicamente acessíveis para violar as redes de alvos, ele também recorre frequentemente a ataques de phishing de retorno de chamada para obter acesso inicial às redes empresariais.
Quando os alvos ligam para os números de telefone incorporados em e-mails disfarçados de renovações de assinatura, os invasores utilizam engenharia social para enganar as vítimas e instalar software de acesso remoto que fornece aos agentes de ameaças o acesso à sua rede.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...