image

Ransomware besmette 900 computers metro San Francisco

zondag 4 december 2016, 08:59 door Redactie, 13 reacties
Laatst bijgewerkt: 05-12-2016, 09:25

Een omvangrijke besmetting van 900 computers door ransomware heeft de metro van San Francisco alleen al aan gemiste kaartverkopen 50.000 dollar gekost. Vorige week raakten verschillende interne computersystemen besmet nadat een werknemer waarschijnlijk een besmette bijlage had geopend.

Hierdoor lieten de kaartautomaten de melding "You Hacked, ALL Data Encrypted" zien. Doordat er geen kaartjes meer konden worden gekocht werd besloten reizigers vorige week zaterdag gratis te laten reizen, waardoor de San Francisco Municipal Transportation Agency (SFTMA) 50.000 dollar aan inkomsten misliep. De aanvaller achter de ransomware liet in een reactie weten dat het niet om een gerichte aanval ging en stelde dat de systemen besmet waren geraakt door een werknemer die illegale software probeerde te downloaden.

SFGate meldt dat de infectie zich voordeed nadat een werknemer een e-mailbijlage, pop-up of link had geopend. In totaal raakten 900 computers met de ransomware besmet en toonden een bericht dat er 100 bitcoin moest worden betaald. Met de huidige wisselkoers is dat zo'n 72.000 euro. De SFTMA besloot het gevraagde losgeld echter niet te betalen. Via back-ups konden de besmette computers weer worden hersteld. De infectie deed zich op vrijdag 25 november voor. Drie dagen laten op maandag 28 november waren alle systemen weer operationeel.

Volgens het Japanse anti-virusbedrijf Trend Micro gaat het zeer waarschijnlijk om een versie van de HDDCryptor-ransomware die voor het eerst in september verscheen. Deze ransomware versleutelt de volledige harde schijf, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf waardoor het systeem niet meer start.

Reacties (13)
04-12-2016, 11:09 door Briolet
Lekker verwarrend. Ik lees eerst:
werd besloten reizigers afgelopen zaterdag gratis te laten reizen
Dit bericht is zondag 4 december gepost, dus dat moet dan 3 december zijn.

En verderop:
De infectie deed zich op vrijdag 25 november voor. Drie dagen laten op maandag 28 november waren alle systemen weer operationeel.
En nu snap ik het dus niet meer. Is die gratis reisdag een cadeautje voor de ellende die de reizigers er de week ervoor hadden?

Ik denk eerder dat de redactie een engelse tekst te letterlijk vertaald heeft en er niet aan gedacht dat afgelopen zaterdag nu een heel andere dag is dan in de originele tekst.
04-12-2016, 11:49 door Anoniem
Hierdoor lieten de kaartautomaten de melding "You Hacked, ALL Data Encrypted" zien.
Ik geloof niet dat de melding op de kaartautomaten verscheen. Wel op terminals in loketten. Zie bijvoorbeeld de foto's bij dit artikel:
http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/
04-12-2016, 16:02 door karma4
Door Anoniem:
Hierdoor lieten de kaartautomaten de melding "You Hacked, ALL Data Encrypted" zien.
Ik geloof niet dat de melding op de kaartautomaten verscheen. Wel op terminals in loketten. Zie bijvoorbeeld de foto's bij dit artikel:
http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/
Ziet er inderdaad uit als de betaalautomaten waar je reistegoed kan kopen niet de in/uit check kaartautomaten met de poortjes. De Credit/debit card ingang is zichtbaar alsmede een andere kaartingang. Met credit/debit card is er een standaard protocol onder Windows wat het meest gebruikt is. De kaartautomaten zijn simpeler en massaler waarschijnlijk een IOT aanpak.

Dat ze iedereen vrijgesteld hebben van dat kaartautomaat gebruik is netjes als beleid. Ze hadden ook kunnen zeggen uw heeft nog tegoed betaal maar gewoon. Kunt u dat niet dan kunnen we altijd nog beboeten. Zoiets is de NL aanpak.
04-12-2016, 17:48 door Anoniem
Veel meer info : https://krebsonsecurity.com/2016/11/san-francisco-rail-system-hacker-hacked/
04-12-2016, 19:35 door NetGuardian
Op dit artikel zijn ook TVM's (Ticket Vending Machines) te zien die Out of Service staan:
http://www.sfexaminer.com/alleged-muni-hacker-demands-73000-ransom-computers-stations-restored/

Ik kan je uit ervaring vertellen (jaren lang in de OV-chipkaart ellende gewerkt), dat op 1 OV aanbieder na in Nederland ook alle TVM's gewoon op Windows draaien en kortweg "RUK" beveiligd zijn.
Het zou me voor geen meter verbazen als de automaten ook gewoon de Sjaak waren.....
04-12-2016, 22:01 door Briolet
Door NetGuardian: Op dit artikel zijn ook TVM's (Ticket Vending Machines) te zien die Out of Service staan:

Dat betekent niet dat ze gehacked zijn. Als je het artikel in de link gelezen had, wist je dat de ticket automaten door het personeel inactief gemaakt zijn. Dit omdat men niet kon uitsluiten dat deze gecompromitteerd waren.

Er was de eerste dag niet bekend of deze apparaten ook getroffen zijn. Het Out of Service bericht op die schermen is er in elk geval omdat ze door het personeel uitgezet zijn en niet vanwege de hack. Hetzelfde geldt voor de open poortjes.
05-12-2016, 07:09 door karma4 - Bijgewerkt: 05-12-2016, 07:09
Door Briolet: ......
Dat betekent niet dat ze gehacked zijn. Als je het artikel in de link gelezen had, wist je dat de ticket automaten door het personeel inactief gemaakt zijn. Dit omdat men niet kon uitsluiten dat deze gecompromitteerd waren.
....
Het artikel gelezen. Het zijn webservers (Unix?linux) mer weblogic die lek zijn en omgevallen zijn. Wat er vandaar meer geraakt is daar staat nergens wat over.
Er moet een boodschap ergens op een scherm verschenen zijn. Waar en hoe is niet gemeld. Zou het op een betaalautomaat zijn dan zou er vast foto's van rondgaan. Dat dat niet is gebeurt geeft aan dat het elders zat.

Betaalautomaten worden slecht geüpdatet. Daar staat tegenover dat de fysieke beveiliging veel aandacht krijgt. Het maakt ze minder kwetsbaar voor cyberaanvallen.
Als er wat fout gaat dan moet je de servers die die dingen beheren.

Tvm's is wat anders, daar gaat niet direct betalingsverkeer over.
05-12-2016, 09:09 door Anoniem
Door karma4:
Door Anoniem:
Hierdoor lieten de kaartautomaten de melding "You Hacked, ALL Data Encrypted" zien.
Ik geloof niet dat de melding op de kaartautomaten verscheen. Wel op terminals in loketten. Zie bijvoorbeeld de foto's bij dit artikel:
http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/
Ziet er inderdaad uit als de betaalautomaten waar je reistegoed kan kopen niet de in/uit check kaartautomaten met de poortjes.
We praten langs elkaar heen. In de hokjes met loketten staan gewone terminals/werkstations waarop de melding verscheen. De betaalautomaten (die ik kaartautomaten noemde, je kan er kaarten kopen/opladen neem ik aan) waren buiten werking gesteld maar toonden de hacked-melding niet. De in/uitcheckpoortjes stonden open.
06-12-2016, 11:52 door [Account Verwijderd] - Bijgewerkt: 06-12-2016, 15:01
[Verwijderd]
07-12-2016, 10:31 door karma4 - Bijgewerkt: 07-12-2016, 10:34
Weblogic is maar een Middleware proces onderdeel van een groter geheel als Stack. Kijk eens wat Oracle zelf zegt http://docs.oracle.com/html/E77908_01/toc.htm

For example, if the certification document indicates that your product is certified for installation on 32-Bit Oracle Linux 5, this document should be used to verify that your Oracle Linux 5 system has met the required minimum specifications, like disk space, available memory, specific platform packages and patches, and other operating system-specific items.

Oracle heeft sun overgenomen en verkoopt die dozen met de hel Stack van hardware tot applicatie.
07-12-2016, 13:38 door [Account Verwijderd]
[Verwijderd]
08-12-2016, 08:08 door karma4
Rinjani welke zeperd ? Het lek dat genoemd is is weblogic.
Als je de omgeving van Oracle kent zijn dat gewoonlijk rode linux doosjes.
Dat er daar vandaan ander machines aangevallen worden is een tweede derde of andere vervolgstap.

Ik vind het eerder een zeperd: die houding als je andere machines kan vinden waar je een hekel aan hebt dan moet het daaraan liggen.
Anlyseren van secùrity en bedreigingen is alle mogelijkheden open houden ook hetgeen waar je zelf aan gehecht bent.
Voor deze aanval weblogic de fail met doorbreken isolatie zones. Dat is het.
Dat de slachtoffers Windows machines zijn is het resultaat.

Vergelijk het met bacteriën virussen in de levende wereld. Het is beter besmettingshaarden uit te roeien dan iedereen resistent zien te krijgen.
08-12-2016, 10:00 door [Account Verwijderd] - Bijgewerkt: 08-12-2016, 11:31
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.