Nedfald fra cyberangreb på Atlanta-computere er stadig uklart (Opdatering)

Mere end 24 timer efter, at et ransomware-cyberangreb rettet mod byen Atlantas computernetværk blev opdaget, nedfaldet var stadig ikke klart.

Atlanta city embedsmænd meddelte torsdag eftermiddag, at byens informationssikkerhedsteam havde bemærket "noget, der så mærkeligt ud" på serveren omkring 5:40 om morgenen den dag og begyndte en undersøgelse. Nogle bydata blev krypteret, hovedsagelig holdt for løsesum af angriberne.

Angrebet forårsagede afbrydelse for nogle interne og kundevendte applikationer, herunder dem, der bruges til at betale regninger og få adgang til retsoplysninger, Det fortalte byens Chief Operating Officer, Richard Cox, til journalister på et pressemøde torsdag. Men det påvirkede ikke afdelingen for offentlig sikkerhed, vandafdelingen eller Hartsfield-Jackson Atlanta International Airport, han sagde.

Lufthavnen lukkede sit Wi-Fi-netværk og de systemer, der leverer flyinformation og sikkerhedscheckpoints ventetider på sin hjemmeside, "af en overflod af forsigtighed, " sagde talsmand Reese McCranie i et telefoninterview fredag.

"Vi ønsker ikke at åbne lufthavnen for ethvert muligt cyberangreb, " han sagde, tilføjer, at lufthavnens teknologiske personale arbejdede på at hærde sin infrastruktur for at sikre, at den ikke er sårbar.

En talsmand for byen sagde fredag, at der ikke var nogen nye oplysninger tilgængelige.

Det var ikke umiddelbart klart, om nogen personlige oplysninger var blevet kompromitteret, men borgmester Keisha Lance Bottoms opfordrede byens ansatte, beboere og andre, hvis data kan være i byens system, for at overvåge deres bankkonti og tage proaktive skridt til at beskytte deres personlige data.

Byen arbejder med føderale agenturer, herunder FBI og Department of Homeland Security, samt partnere i den private sektor, for at løse problemet, sagde bunden.

Mark Ray, en tidligere FBI-cybersikkerhedsefterforsker, som nu er administrerende direktør og leder af digitale efterforskninger for Nardello &Co., sagde agenturets primære mål er at stoppe et angreb og finde ud af, hvem der er ansvarlig.

Agenturets første skridt ville være at give praktiske råd såsom at isolere de berørte systemer, bevare og beskytte upåvirkede systemer ved at tage dem offline, samt sørge for, at sikkerhedskopier er bevaret og sikre. Næste, FBI vil gerne have en prøve af ransomwaren, fordi den måske allerede har intelligens om den pågældende malware, der kan hjælpe med at stoppe den, eller den kan have en dekrypteringsnøgle fra et tidligere angreb.

Da man torsdag blev spurgt, om byen ville betale den krævede løsesum, borgmesteren sagde, at byen ville søge vejledning fra føderale myndigheder om den bedste fremgangsmåde.

FBI vil aldrig gå ind for at betale løsesum, sagde Ray. Det er der forskellige årsager til, herunder:Der er ingen garanti for, at ransomware-ejeren rent faktisk vil levere dekryptering efter at være blevet betalt, en organisations betalingsvilje kan gøre den til et mål for fremtidige angreb, og nogle gange resulterer betaling i, at en del af et system låses op, men så kræves der flere penge for at låse mere af systemet op.

Men hvis en organisation vælger ikke at betale løsesum, og hvis der ikke er en let tilgængelig dekrypteringsnøgle, "Alternativet er, bogstaveligt talt, at skære og brænde de miljøer, der er blevet inficeret, " sagde Ray. "Det er her, god backup er afgørende."

Ransomware udnytter kendte softwaresårbarheder, og ofte har organisationer, der bliver ofre for sådanne angreb, ikke gjort et grundigt stykke arbejde med at lappe systemer regelmæssigt, han sagde.

Kommuner kæmper ofte med grundlæggende softwareopdateringer og patching, fordi de ofte mangler ressourcer, sagde Ryan Kalember, senior vice president for cybersikkerhedsstrategi hos sikkerhedsfirmaet Proofpoint.

Atlanta-angrebet bærer kendetegnene for SamSam ransomware, og hvad byens informationssikkerhedsteam sandsynligvis så var noget, der forsøgte at logge på uden for organisationen, han sagde.

I modsætning til de fleste ransomware, som får adgang til et netværk, når nogen klikker på et link i en phishing-e-mail, SamSam søger vilkårligt på internettet efter sårbare servere, sagde Kalember. Når først den finder fodfæste – ofte ved at udnytte en svag adgangskode eller en der ikke bliver ændret ofte – kommer den ind i et system og begynder at sprede sig.

Hvis det er SamSam, der kan være lidt gode nyheder, fordi det typisk krypterer oplysningerne på plads og kræver løsesum for at genoprette adgangen til dem i stedet for at stjæle oplysningerne, sagde Kalember.

"Det er et wakeup call, og det er i sidste ende ikke så skadeligt, så der er en klar guldkant for kommunerne", fordi det kan motivere byen til at lægge ressourcer og politisk vilje bag at gøre sine netværk mere sikre, han sagde.

© 2018 The Associated Press. Alle rettigheder forbeholdes.