A cidade de Dallas revelou que a gangue de ransomware Royal que atingiu o sistema da cidade em maio passado usou uma conta roubada. Naquele mês, um ataque de ransomware atingiu os sistemas de TI da cidade do norte do Texas. Para evitar que a ameaça se espalhasse dentro da rede, a Prefeitura desligou os sistemas de TI impactados.
A Prefeitura de Dallas confirmou o incidente de segurança e ainda está trabalhando para se recuperar do ataque de ransomware que afetou seus serviços, incluindo o departamento de polícia. O ataque afetou menos de 200 dispositivos e operações essenciais, como o 911, sistema americano que centraliza o atendimento e interliga polícia, bombeiros e emergência médica, permaneceram funcionando.
De acordo com o relatório The city of Dallas ransomware incident: May 2020 publicado pelo Departamento de Serviços de Tecnologia da Informação da Cidade de Dallas, o ITS Risk Management, Security and Compliance Services, na quarta-feira da semana passada, 20, o grupo Royal obteve acesso à infraestrutura da cidade usando uma conta de serviço de domínio roubada.
A CBS News do Texas obteve uma imagem da nota lançada pelo grupo de ransomware Royal em ameaça publicar dados roubados se a cidade não atender ao seu pedido de resgate (veja quadro abaixo).
Uma vez obtido o acesso à rede da Prefeitura, o grupo realizava atividades de reconhecimento e coleta de informações usando ferramentas legítimas de gerenciamento remoto de terceiros. Entre 7 de abril e 4 de maio deste ano, o Royal realizou atividades de exfiltração de dados e preparação de entrega de ransomware. O grupo iniciou a atividade de reconhecimento em abri, e a análise dos dados de registro do sistema data do início das operações de vigilância em 7 de abril.
“O acesso inicial do Royal utilizou a conta de serviço de domínio de serviço básico, conectando-se a um servidor. A Royal foi então capaz de atravessar a infraestrutura interna da cidade durante o período de vigilância usando ferramentas legítimas de gerenciamento remoto de terceiros”, diz o relatório. “Usando as credenciais da conta de serviço da Prefeitura, a Royal realizou atividades de reconhecimento na infraestrutura de TI da Cidade durante o período de 7 de abril de 2023 a 4 de maio de 2023. Durante esse tempo, a Royal realizou atividades de exfiltração de dados e preparação de entrega de ransomware.”
O grupo conseguiu roubar dados da Prefeitura e vazou aproximadamente 1.169 terabytes (TB) em um momento anterior a 3 de maio. “Durante o período de vigilância, o Royal realizou diversas ações para injetar softwares de comando e controle (C&C) e estabeleceu balizas de C&C para o ataque. Os softwares de comando e controle permitiram que o Royal preparasse os recursos de rede da cidade para o ataque de criptografia de ransomware de 3 de maio de 2023”, continua o relatório.
Veja isso
Interferência no aeroporto de Dallas tirou precisão de GPS
Polícia de Dallas perde 22 TB em migração de NAS
Os especialistas da Prefeitura acreditam que o grupo visou especificamente uma lista priorizada de servidores usando ferramentas administrativas legítimas do sistema da Microsoft. A cidade imediatamente iniciou os esforços de mitigação após a descoberta do ataque e começou a restaurar seus serviços com a ajuda de especialistas externos em segurança cibernética.
Os peritos passaram mais de cinco semanas restaurando os servidores, de 9 de maio a 13 de junho. A prefeitura informou ao Gabinete do Procurador-Geral do Estado do Texas (TxOAG) que as informações pessoais de 26.212 moradores e um total de 30.253 pessoas foram potencialmente impactadas.
De acordo com o aviso publicado no site do TxOAG em 7 de agosto, as informações pessoais expostas incluem nomes, endereços, informações de seguridade social, informações de saúde e informações de seguro de saúde. O Conselho Municipal de Dallas aprovou um orçamento de US$ 8,5 milhões para mitigar o ataque de ransomware. Com agências de notícias internacionais.