Italský region Lazio se od nedělního rána potýká s nepříjemnými následky ransomwarového útoku. Bleeping Computer informuje, že se mimo provoz ocitly některé důležité systémy místní samosprávy, včetně portálu pro registraci k očkování proti onemocnění covid-19.
Kybernetický útok směřoval na krajskou IT infrastrukturu a v jeho průběhu došlo k zašifrování celé řady důležitých dat. Počítačové systémy jsou v současné době odstavené, aby bylo možné provést interní kontrolu a zabránit dalšímu šíření zavlečeného viru.
Největší problém jsou zašifrovaná data
Výpadek postihl také zdravotnický portál Salute Lazio, který slouží k registraci na očkování. „Očkovací kampaň pokračuje pro všechny, kteří se již objednali, normálně. Rezervace očkování jsou prozatím pozastavené a budou otevřené v následujících dnech.“ uvedl šéf regionální vlády Lazio Nicola Zingaretti.
Ačkoli bývá zvykem, že ransomwarové gangy během útoku kradou data, která pak používají jako páku při pokusech o vydírání, region uvádí, že zdravotní, finanční a rozpočtová data jsou v bezpečí. Podle zdrojů z místa byl útok proveden ransomwarem známým jako LockBit 2.0.
Útočníci tradičně požadují za dešifrování dat výkupné, nicméně zatím není známa jeho výše. Požadavek obsahuje odkaz na stránku na dark webu, kterou mohou představitelé Lazia využít k vyjednávání. Stránky jsou pro každou oběť jedinečné, a pokud byla během útoku odcizena data, poskytují na nich útočníci podrobnosti, jako je množství ukradených dat a snímky obrazovek se získanými soubory.
Ransomware LockBit 2.0
Ransomware LockBit 2.0 se může šířit v místní síti prostřednictvím zásad skupiny vytvořených na napadeném řadiči domény. Poté, co útočníci získají přístup do sítě a dostanou se k řadiči domény, spustí na něm malware a vytvoří nové zásady skupin uživatelů, které se pak automaticky přenesou do všech zařízení v síti. Tyto zásady nejprve deaktivují integrovanou bezpečnostní technologii operačního systému.
Další zásady pak na všech počítačích se systémem Windows vytvoří naplánovanou úlohu, jež aktivuje spustitelný soubor ransomwaru. Ransomware používá rozhraní API služby Windows Active Directory k provádění dotazů přes protokol LDAP (Lightweight Directory Access Protocol) k získání seznamu počítačů v síti.
Velmi pravděpodobně se jedná o vůbec první masové šíření malwaru prostřednictvím zásad skupin uživatelů. LockBit 2.0 je zajímavý také tím, že vystavuje požadavek na výkupné v poněkud netradiční formě – vytiskne ho na všech tiskárnách připojených k síti.
Jiné zdroje uvádějí, že k útoku mohl být použit ransomware RansomEXX, jež se zaměřuje na velké korporátní subjekty. Ten do sítí proniká pomocí zranitelností nebo ukradených pověření. Jakmile útočníci získají přístup, kradou nešifrované soubory pro následné pokusy o vydírání. Po získání přístupu k řadiči domény Windows nasadí v síti ransomware, který zašifruje všechna zařízení.