昨天我們已經報道黑客周五入侵了舊金山市交通局(MUNI),超過2000臺計算機系統被黑,導致上周末乘客能夠免費坐地鐵的快訊。
市里所有地鐵站的電腦屏幕上均顯示:
“你已被黑,所有數據已加密,聯系我們([email protected])ID:681”。
由于整個地鐵售票系統都停運了,舊金山交通局直接開放了檢票口,允許顧客免費乘車。國外媒體報道稱,內部消息說系統已經被黑好幾天了。舊金山交通局已正式確認本次被黑事件,并表示并未影響到其他服務。發言人則說,針對此次事件,目前仍在調查中。
勒索要求73,000贖金
雖說地鐵車輛本身并沒有被惡意軟件入侵,而且MUNI也聲稱地鐵售票系統在11月27號一早就已經恢復運營。舊金山的市交通局也提到會其他的公共交通設施保持警惕,除了地鐵之外,還有有軌電車、公共汽車和舊金山的標志性纜車。
除了一個名為Andy Saolis的假名,目前并沒有發現其他人或組織對這起攻擊事件負責。但是據當地媒體報道,市交通局收到的勒索是,除非支付價值73,000美元的比特幣作為贖金,否則該政府機構的電腦依舊在入侵者的掌控之中。
Andy Saolis這個化名通常在利用HDDCryptor勒索軟件的攻擊中被使用。HDDCryptor勒索攻擊就是用市面上能夠買到的工具來對硬盤和網絡進行加密,這種勒索軟件隨機生成密鑰,感染Windows設備,并覆蓋硬盤的MBR阻止系統正常啟動。
主引導記錄(MBR)是硬盤的第一個扇區(512bytes),其中會存儲bootloader。bootloader是引導裝載程序,負責引導當前操作系統。
目標電腦被感染的原因通常是無意中運行或下載了郵件中的惡意可執行文件,然后惡意軟件就會通過網絡蔓延到一發不可收拾。
[email protected],這個郵箱被匿名犯罪者使用,會指向一個用來支付贖金的俄羅斯郵箱地址。這個郵箱地址還可以聯系到其他的網絡攻擊行為。
這個黑客可能是個慣犯
在聯系這個郵箱之后,會收到一段來自入侵者的陳述,整條陳述都是用蹩腳的英語寫出來的。
“我們并不是為了引起關注或傳播什么新聞!我們的軟件完全是自動運行的,所以我們并不會設定什么專門的攻擊目標!入侵舊金山市交通局2000臺計算機簡直是太容易了!我們在等負責人跟我們聯系,但看起來他們并不想跟我們協商!既然這樣,我們明天就會把這個郵箱關了!”
同樣的郵箱地址[email protected]還出現在今年9月份的一起被稱為Mamba的勒索事件中。那次事件中勒索軟件的部署策略跟這次是十分相似的。
黑客同樣提供了一個清單,上面聲稱MUNI網絡中2,112臺計算機都已經被他們控制了,差不多可以占到總共8,656臺電腦的四分之一。黑客還說MUNI有一天時間來跟他們達成協議。
對這個入侵者我們還是知之甚少,他的真實身份到目前為止還是一個謎,不過這起事件再次發出警示,國家對關鍵基礎設施的防護依舊十分薄弱。
京公網安備 11010502049343號