Barracuda full logo

Dallas: 3 ataques, 2 atacantes, 1 ano muito mau

Tópicos:
29 fev. 2024
|
Christine Barry

O Dia das Eleições de 2022 deu início a um ano mau para Dallas e para o Estado do Texas. Grupos de ransomware atacaram com sucesso o Distrito Central de Avaliação de Dallas (DCAD), a Cidade de Dallas e o Condado de Dallas, de 8 de novembro até ao final de novembro de 2023. Estes ataques e os seus efeitos dominaram os meios de comunicação e consumiram a mão-de-obra, os fundos de emergência e o foco profissional dos funcionários eleitos e dos trabalhadores públicos em todo o lado.

Agências governamentais e entidades públicas no Texas têm sido alvo de ataques há muitos anos, e os efeitos ainda são sentidos em todo o estado. O Texas declarou um estado de emergência em 2019 em resposta ao ataque coordenado pelo grupo de ransomware REvil. A campanha de ransomware REvil interrompeu 23 municípios do Texas, e o ataque provavelmente visou dezenas mais. A história do “Ruthless REvil” terminou com acusações e prisões em 2021. Indivíduos e empresas no Texas ainda estão lidando com as consequências de ataques anteriores.

Os três ataques detalhados neste post são significativos em termos de alcance, custo e impactos potenciais no público.

Distrito de Avaliação Central de Dallas

Comecemos pelo ataque de ransomware ao Dallas Central Appraisal District (DCAD). Esta agência é “responsável pela avaliação de propriedades para efeitos de avaliação de impostos sobre propriedades ad valorem em nome dos 61 órgãos governamentais locais no Condado de Dallas.” Havia quase 850.000 parcelas no sistema DCAD no momento do ataque. O DCAD tinha quase totalmente recuperado no início de fevereiro de 2023, embora o site móvel ainda estivesse offline e houvesse um atraso em certos tipos de trabalho.

  • Detalhes do ataque: Os sistemas do DCAD foram comprometidos a 8 de novembro de 2022. Este foi o dia das eleições nos Estados Unidos (EUA), e os recursos de TI podem ter estado focados nos sistemas relacionados com as eleições. O ataque perturbou 300 computadores de secretária, o sistema de mensagens de e-mail e o site do DCAD. Os e-mails do distrito e as aplicações do site voltadas para o público voltaram a estar online em algum momento de dezembro. O DCAD confirmou que nenhum sistema da cidade foi afetado por este ataque.
  • Ator de ameaça: ransomware Royal foi responsável por este ataque. Os analistas suspeitam que o ataque começou com um ataque de phishing a membros da equipa.
  • Resgate pago: A DCAD pagou $170,000 ao grupo de ransomware para recuperar o acesso aos seus sistemas e evitar que os dados roubados fossem publicados. O resgate foi pago a partir do Fundo de Reserva Restrita da DCAD, que é uma “reserva de emergência para uso em caso de calamidade, despesas de programa não antecipadas ou para custos iniciais fiscais.” (Orçamento Aprovado DCAD 2022 – 2023, p.30)
  • Dados roubados: A quantidade específica de dados que pode ter sido roubada e divulgada é desconhecida. O DCAD é o segundo maior distrito de avaliação no Texas, e 90% dos seus dados estavam online e inacessíveis.
  • Custo total: A DCAD contratou um consultor de cibersegurança e um negociador externo para resolver o incidente de ransomware. Os custos de recuperação além do resgate não foram divulgados.

Um mês após este ataque, Royal comprometeu o Travis Central Appraisal District (TCAD), também localizado no Texas. Ao contrário do DCAD, o ataque ao TCAD foi resolvido no prazo de uma semana.

 

Cidade de Dallas

A Cidade de Dallas (Dallas) é a sede do Condado de Dallas e abriga mais de 1,3 milhão de pessoas. É a terceira maior cidade do Texas e recebe anualmente 25,7 milhões de visitantes. O grupo de ransomware Royal infetou os sistemas da cidade no início de abril de 2023, usando uma conta de serviço de domínio básico. Isso permitiu que o atacante de ameaças iniciasse sessão num servidor e atravessasse a rede da cidade usando ferramentas legítimas de gestão remota de terceiros. Este tempo de residência entre a infeção do servidor e a encriptação em toda a cidade permitiu ao Royal conhecer os sistemas da cidade, roubar mais de 1,1 TB de dados e preparar-se para o ataque de ransomware em toda a cidade.  

  • Detalhes do ataque: A 3 de maio de 2023, o ransomware Royal começou a encriptar ficheiros através da rede da cidade. O ataque utilizou ferramentas legítimas do sistema Microsoft para propagar este ataque.
  • Ator de ameaça: Royal ransomware.
  • Resgate pago: Não há referência a um resgate pago pela cidade. Se um resgate foi pago, o montante provavelmente está no orçamento total alocado para este incidente.
  • Dados roubados: Estima-se que 1.169 TB de dados foram roubados da cidade, incluindo as informações pessoais de mais de 30.250 pessoas.
  • Custo total: A cidade aprovou um orçamento de $8.5 milhões para esforços de restauração por parte da equipa interna e fornecedores de serviços externos.

A cidade redigiu um extenso Relatório Pós-Ação (AAR) que inclui os detalhes do ataque, informações sobre o ator da ameaça e os eventos que rodearam a interdição, mitigação, recuperação e esforços de restauração. Isto deveria ser de leitura obrigatória para qualquer pessoa que trabalhe em suporte técnico, segurança de rede e administração pública.

 

Condado de Dallas

O Condado de Dallas é lar de mais de 2,6 milhões de pessoas e é o nono condado mais populoso dos Estados Unidos. Os funcionários do condado foram notificados de um “incidente de cibersegurança” a 19 de outubro de 2023, cerca de uma semana após o pessoal o ter detetado. Ao contrário da Cidade de Dallas, os sistemas do Condado de Dallas continuaram a funcionar, e os serviços públicos não foram interrompidos.

  • Detalhes do ataque: Embora o evento tenha sido detetado anteriormente, a notificação aos responsáveis do Condado de Dallas em 19 de outubro marca a data de início comummente aceite do ataque. Em 30 de outubro, o condado anunciou que contratou uma empresa de segurança externa para ajudar numa investigação forense completa. O condado deu mais detalhes no dia seguinte, dizendo que tinha interrompido tentativas de exfiltração de dados e impedido a encriptação de ficheiros e sistemas. Este ataque não tem uma data de encerramento 'oficial', mas a declaração de 31 de outubro sugere que o incidente foi efetivamente contido.
  • Ator de ameaça: O grupo de ransomware Play reivindicou a responsabilidade pelo ataque. Play é o ator de ameaça responsável pelo ataque à Cidade de Oakland.
  • Resgate pago: Não há menção de pagamento de resgate pelo Condado de Dallas.
  • Dados roubados: Como a maioria dos ataques de extorsão dupla, a Play ameaçou publicar dados sensíveis roubados no ataque. O município reconheceu a ameaça mas não parece ter pago um resgate. Os dados dizem-se “principalmente informações de casos criminais que são acessíveis através de pedidos de registros públicos.”
  • Custo total: O custo total do ataque não foi detalhado. O condado contratou uma empresa de segurança externa para ajudar na remediação e investigação.

 

Ao contrário da cidade de Dallas, o condado parece ter interrompido o ataque e prevenido a maior parte dos danos. No entanto, as divulgações de violação de dados muitas vezes demoram meses ou anos, por isso uma investigação pode ainda estar em curso, e as notificações podem chegar mais tarde. Como se trata de uma investigação criminal, a informação seria mantida confidencial até que a investigação seja concluída. E embora o condado acredite que conteve efetivamente o ataque, foi vítima de um esquema fraudulento de 2,4 milhões de dólares a 17 de novembro de 2024. O condado afirma que isto não está relacionado com o ataque de 19 de outubro, mas o autor da ameaça é desconhecido.

Proteja a sua empresa

A Barracuda oferece proteção completa contra ransomware. A nossa plataforma de cibersegurança protege o seu email, rede, aplicações e dados. Visite o nosso site para ver como funciona.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 System shock: Storm-0501 ransomware shifts into the cloud
System shock: Storm-0501 ransomware shifts into the cloud
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.