[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Cidade de Dallas vai gastar US$ 8,5 milhões para mitigar ataque

A cidade de Dallas revelou que a gangue de ransomware Royal que atingiu o sistema da cidade em maio passado usou uma conta roubada. Naquele mês, um ataque de ransomware atingiu os sistemas de TI da cidade do norte do Texas. Para evitar que a ameaça se espalhasse dentro da rede, a Prefeitura desligou os sistemas de TI impactados.

A Prefeitura de Dallas confirmou o incidente de segurança e ainda está trabalhando para se recuperar do ataque de ransomware que afetou seus serviços, incluindo o departamento de polícia. O ataque afetou menos de 200 dispositivos e operações essenciais, como o 911, sistema americano que centraliza o atendimento e interliga polícia, bombeiros e emergência médica, permaneceram funcionando. 

De acordo com o relatório The city of Dallas ransomware incident: May 2020 publicado pelo Departamento de Serviços de Tecnologia da Informação da Cidade de Dallas, o ITS Risk Management, Security and Compliance Services, na quarta-feira da semana passada, 20, o grupo Royal obteve acesso à infraestrutura da cidade usando uma conta de serviço de domínio roubada. 

CBS News do Texas obteve uma imagem da nota lançada pelo grupo de ransomware Royal em ameaça publicar dados roubados se a cidade não atender ao seu pedido de resgate (veja quadro abaixo).

Uma vez obtido o acesso à rede da Prefeitura, o grupo realizava atividades de reconhecimento e coleta de informações usando ferramentas legítimas de gerenciamento remoto de terceiros. Entre 7 de abril e 4 de maio deste ano, o Royal realizou atividades de exfiltração de dados e preparação de entrega de ransomware. O grupo iniciou a atividade de reconhecimento em abri, e a análise dos dados de registro do sistema data do início das operações de vigilância em 7 de abril.

“O acesso inicial do Royal utilizou a conta de serviço de domínio de serviço básico, conectando-se a um servidor. A Royal foi então capaz de atravessar a infraestrutura interna da cidade durante o período de vigilância usando ferramentas legítimas de gerenciamento remoto de terceiros”, diz o relatório. “Usando as credenciais da conta de serviço da Prefeitura, a Royal realizou atividades de reconhecimento na infraestrutura de TI da Cidade durante o período de 7 de abril de 2023 a 4 de maio de 2023. Durante esse tempo, a Royal realizou atividades de exfiltração de dados e preparação de entrega de ransomware.”

O grupo conseguiu roubar dados da Prefeitura e vazou aproximadamente 1.169 terabytes (TB) em um momento anterior a 3 de maio. “Durante o período de vigilância, o Royal realizou diversas ações para injetar softwares de comando e controle (C&C) e estabeleceu balizas de C&C para o ataque. Os softwares de comando e controle permitiram que o Royal preparasse os recursos de rede da cidade para o ataque de criptografia de ransomware de 3 de maio de 2023”, continua o relatório.

Veja isso
Interferência no aeroporto de Dallas tirou precisão de GPS
Polícia de Dallas perde 22 TB em migração de NAS

Os especialistas da Prefeitura acreditam que o grupo visou especificamente uma lista priorizada de servidores usando ferramentas administrativas legítimas do sistema da Microsoft. A cidade imediatamente iniciou os esforços de mitigação após a descoberta do ataque e começou a restaurar seus serviços com a ajuda de especialistas externos em segurança cibernética.

Os peritos passaram mais de cinco semanas restaurando os servidores, de 9 de maio a 13 de junho. A prefeitura informou ao Gabinete do Procurador-Geral do Estado do Texas (TxOAG) que as informações pessoais de 26.212 moradores e um total de 30.253 pessoas foram potencialmente impactadas.

De acordo com o aviso publicado no site do TxOAG em 7 de agosto, as informações pessoais expostas incluem nomes, endereços, informações de seguridade social, informações de saúde e informações de seguro de saúde. O Conselho Municipal de Dallas aprovou um orçamento de US$ 8,5 milhões para mitigar o ataque de ransomware. Com agências de notícias internacionais.