SSL信息昨天我们已经报道黑客周五入侵了旧金山市交通局(MUNI),超过2000台计算机系统被黑,导致上周末乘客能够免费坐地铁的快讯。
市里所有地铁站的电脑屏幕上均显示:
“你已被黑,所有数据已加密,联系我们(cryptom27@yandex.com)ID:681”。
由于整个地铁售票系统都停运了,旧金山交通局直接开放了检票口,允许顾客免费乘车。国外媒体报道称,内部消息说系统已经被黑好几天了。旧金山交通局已正式确认本次被黑事件,并表示并未影响到其他服务。发言人则说,针对此次事件,目前仍在调查中。
勒索要求73,000赎金
虽说地铁车辆本身并没有被恶意软件入侵,而且MUNI也声称地铁售票系统在11月27号一早就已经恢复运营。旧金山的市交通局也提到会其他的公共交通设施保持警惕,除了地铁之外,还有有轨电车、公共汽车和旧金山的标志性缆车。
除了一个名为Andy Saolis的假名,目前并没有发现其他人或组织对这起攻击事件负责。但是据当地媒体报道,市交通局收到的勒索是,除非支付价值73,000美元的比特币作为赎金,否则该政府机构的电脑依旧在入侵者的掌控之中。
Andy Saolis这个化名通常在利用HDDCryptor勒索软件的攻击中被使用。HDDCryptor勒索攻击就是用市面上能够买到的工具来对硬盘和网络进行加密,这种勒索软件随机生成密钥,感染Windows设备,并覆盖硬盘的MBR阻止系统正常启动。
主引导记录(MBR)是硬盘的第一个扇区(512bytes),其中会存储bootloader。bootloader是引导装载程序,负责引导当前操作系统。
目标电脑被感染的原因通常是无意中运行或下载了邮件中的恶意可执行文件,然后恶意软件就会通过网络蔓延到一发不可收拾。
cryptom27@yandex.com,这个邮箱被匿名犯罪者使用,会指向一个用来支付赎金的俄罗斯邮箱地址。这个邮箱地址还可以联系到其他的网络攻击行为。
这个黑客可能是个惯犯
在联系这个邮箱之后,会收到一段来自入侵者的陈述,整条陈述都是用蹩脚的英语写出来的。
“我们并不是为了引起关注或传播什么新闻!我们的软件完全是自动运行的,所以我们并不会设定什么专门的攻击目标!入侵旧金山市交通局2000台计算机简直是太容易了!我们在等负责人跟我们联系,但看起来他们并不想跟我们协商!既然这样,我们明天就会把这个邮箱关了!”
同样的邮箱地址cryptom27@yandex.com还出现在今年9月份的一起被称为Mamba的勒索事件中。那次事件中勒索软件的部署策略跟这次是十分相似的。
黑客同样提供了一个清单,上面声称MUNI网络中2,112台计算机都已经被他们控制了,差不多可以占到总共8,656台电脑的四分之一。黑客还说MUNI有一天时间来跟他们达成协议。
对这个入侵者我们还是知之甚少,他的真实身份到目前为止还是一个谜,不过这起事件再次发出警示,国家对关键基础设施的防护依旧十分薄弱。