Ciberataque de Atlanta de 2018

La ciudad de Atlanta, Georgia, fue objeto de un ciberataque masivo que comenzó en marzo de 2018.[1]​ La ciudad reconoció el ataque el jueves 22 de marzo del mismo año[2][3]​ y reconoció públicamente que se trataba de un ataque de ransomware.

Ciberataque de Atlanta de 2018
Localización
Localidad Atlanta
Datos generales
Tipo ciberataque
Causa Ransomware SamSam
Histórico
Fecha 22 de marzo de 2018
Desenlace
Resultado

Múltiples servicios municipales inactivos, incluidas bases de datos y Wi-Fi Años de datos de valor destruidos

La ciudad gasta US$2.7 millones en servicios de recuperación

Debido a la importancia nacional de Atlanta como centro económico y de transporte, el ataque recibió gran atención[4]​ y fue notable tanto por el alcance como por la duración de las interrupciones del servicio causadas. El ataque afectó a muchos servicios y programas de la ciudad, incluidos servicios públicos, estacionamiento y servicios judiciales.[5]​ Los funcionarios de la ciudad se vieron obligados a completar formularios en papel (a mano).[6]

El 26 de noviembre, un gran jurado acusó a dos piratas informáticos iraníes, Faramarz Shahi Savandi y Mohammad Mehdi Shah Mansouri, por el ataque. El Departamento de Justicia alegó que Savandi y Mansouri son parte del grupo SamSam; que el grupo SamSam tiene su base en Irán; y que la pareja creó SamSam Ransomware, el malware utilizado en el ataque. No hay afiliaciones con el gobierno de Irán.[7]

Enfoque y ataque

editar

Antes del ataque, el gobierno de Atlanta fue criticado por la falta de gasto en la actualización de su infraestructura de TI, dejando múltiples vulnerabilidades abiertas al ataque. De hecho, una auditoría de enero de 2018 encontró entre 1,500 y 2,000 vulnerabilidades en los sistemas de la ciudad, y sugirió que la cantidad de vulnerabilidades había aumentado tanto que los trabajadores se volvieron complacientes. El virus utilizado para atacar la ciudad fue el SamSam Ransomware, que difiere de otros ransomware en que no se basa en phishing, sino que utiliza un ataque de fuerza bruta para adivinar contraseñas débiles hasta que se encuentre una coincidencia. Se sabe que se dirige a infraestructuras y servidores de TI más débiles.[8]​ El ransomware ha estado detrás de los ataques a organizaciones médicas y gubernamentales desde su descubrimiento en 2016, con ataques previos contra objetivos que van desde pequeñas ciudades como Farmington, Nuevo México hasta el Departamento de Transporte de Colorado y el Centro Médico del Condado de Erie . También puede omitir el software antivirus.[9]​ A pesar de que no se identificó ni acusó a ningún sospechoso hasta noviembre de 2018, los piratas informáticos de SamSam fueron descritos como "oportunistas".[10]

El 22 de marzo, a las 5:40 a. m., el Departamento de Administración de Información de Atlanta se enteró por primera vez de interrupciones en varias aplicaciones internas y de clientes "incluidas algunas aplicaciones que los clientes usan para pagar facturas o acceder a información relacionada con el tribunal", según Richard Cox, interino de la ciudad. Jefe de Operaciones. Poco después, la ciudad cerró muchos de sus servicios digitales en un intento por controlar la situación, incluida la base de datos de su sistema judicial y el wifi en el Aeropuerto Internacional Hartsfield-Jackson de Atlanta. La ciudad finalmente lo identificó como un ataque de ransomware.[3][2]

Secuelas y esfuerzos de recuperación

editar

Este ataque fue notable ya que fue la violación de seguridad más grande y exitosa para una gran ciudad estadounidense por ransomware, que podría afectar hasta a 6 millones de personas.[8][11]​ Después del ataque, la ciudad de Atlanta cooperó con el FBI, el Departamento de Seguridad Nacional y el Servicio Secreto y contrató a firmas de seguridad como SecureWorks para investigar, y se aconsejó a muchas computadoras del gobierno que se apagaran hasta 5 días después.[6]

Aunque la ciudad declaró que había poca o ninguna evidencia de que los datos personales hubieran sido comprometidos, estudios posteriores muestran que la violación fue peor de lo que se estimó originalmente. En junio de 2018, se estimó que un tercio de los programas de software utilizados por la ciudad permanecían fuera de línea o parcialmente deshabilitados.[12]​ Además, muchos documentos legales y archivos de video dashcam de la policía fueron eliminados permanentemente, aunque el departamento de policía pudo restaurar el acceso a todos sus archivos de investigación.[13]​ Durante un tiempo, los residentes se vieron obligados a pagar sus facturas y formularios en papel.[6]

En respuesta a este ataque, Atlanta dedicó US$2.7 millones a los contratistas para recuperarse, pero luego estimó que necesitaría US$9.5 millones.[12]

El 26 de noviembre de 2018, el Departamento de Justicia acusó a dos piratas informáticos iraníes por el ataque, acusando a Faramarz Shahi Savandi y Mohammad Mehdi Shah Mansouri de formar parte del grupo SamSam y crear el SamSam Ransomware.[7]

Referencias

editar
  1. Press, The Associated (23 de marzo de 2018). «Atlanta City Computer Network Remains Hobbled by Cyberattack». 
  2. a b «Atlanta, GA : Ransomware Cyberattack Information». www.atlantaga.gov. Archivado desde el original el 18 de julio de 2018. Consultado el 3 de febrero de 2020. 
  3. a b «Atlanta officials warn cyber attack may compromise sensitive data». Archivado desde el original el 5 de julio de 2018. Consultado el 3 de febrero de 2020. 
  4. Blinder, Alan (27 de marzo de 2018). «A Cyberattack Hobbles Atlanta, and Security Experts Shudder». The New York Times. 
  5. Kearney, Laila (23 de marzo de 2018). «Atlanta ransomware attack throws city services into disarray». Reuters. 
  6. a b c Hutcherson, Kimberly. «Six days after a ransomware cyberattack, Atlanta officials are filling out forms by hand». CNN. 
  7. a b Perlroth, Nicole. «Iranians Accused in Cyberattacks, Including One That Hobbled Atlanta». Consultado el 30 de noviembre de 2018. 
  8. a b Freed, Benjamin (24 de abril de 2018). «Atlanta was not prepared to respond to a ransomware attack». StateScoop. Consultado el 18 de julio de 2018. 
  9. Crowe, Jonathan (March 2018). «City of Atlanta Hit with SamSam Ransomware: 5 Key Things to Know». Barkly vs Malware. Barkly Protects, Inc. Archivado desde el original el 18 de julio de 2018. Consultado el 18 de julio de 2018. 
  10. «SamSam ransomware attacks have earned nearly $850,000». CSO Online. IDG. 23 de marzo de 2018. Archivado desde el original el 18 de julio de 2018. Consultado el 18 de julio de 2018. 
  11. Poon, Linda (30 de marzo de 2018). «Why Are Cities So Vulnerable to Cyber Attack?». Citylab.com. Consultado el 18 de julio de 2018. 
  12. a b «Atlanta officials reveal worsening effects of cyber attack». Thomson Reuters. 6 de junio de 2018. Consultado el 18 de julio de 2018. 
  13. Vaas, Lisa (8 de junio de 2018). «Atlanta ransomware attack destroyed years of police dashcam video». Naked Security. Sophos.