Schermi neri, una semplice stringa: You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681,Enter. . Il sistema di trasporti pubblici di San Francisco, nel concitato fine settimana delle festività del Ringraziamento, è stato colpito da un attacco ad opera di ignoti. Per i cittadini non sembrano essersi rilevati disservizi, se si esclude la libera circolazione sui mezzi pubblici della San Francisco Municipal Transport Agency (SFMTA), decretata dall’agenzia di trasporti pubblici a scopo precauzionale.
Apparently the SF Muni fell victim to ransomware last night #sanfrancisco #infosec pic.twitter.com/E1OVQpAAzY
— Colin Heilbut (@ColinHeilbut) 26 novembre 2016
A partire dall’indirizzo email indicato, i ricercatori di sicurezza si sono mobilitati per individuare la natura dell’attacco: parrebbe trattarsi di una variante del ransomware HDDCryptor con affinità al ransomware Mamba . A partire probabilmente da un incauto download eseguito su una macchina di un operatore della SFMTA, il malware avrebbe infettato 2.112 macchine vulnerabili della rete, dai PC degli uffici e i laptop dei dipendenti, passando per i server email e per le macchine deputate alla gestione dei database, per arrivare ai terminali disseminati per la città con cui gli utenti possono acquistare i biglietti o ottenere informazioni. Tutti gli schermi dei dispositivi coinvolti mostravano lo stesso messaggio, tenuti sotto scacco dalla cifratura dei dati.
L’attacco, suggeriscono coloro che rispondono all’indirizzo email indicato come riferimento, “lavora in maniera completamente automatica” e non sarebbe stato condotto con il proposito di colpire la rete di trasporti di San Francisco. Semplicemente “il network della SFMTA era molto aperto”, quindi prono alla diffusione del ransomware.
Nonostante l’obiettivo di alto profilo in cui l’attaccante è incappato, per di più in un momento critico come quello della festività statunitensi, la somma richiesta sarebbe pari a 100 bitcoin , all’incirca 73mila dollari.
I sistemi dell’azienda di trasporti sono tornati operativi, ma non è per il momento dato sapere se la SFMTA sia scesa a compromessi e abbia trattato con l’estorsore a mezzo ransomware. La SFMTA, al di là di una iniziale, generica conferma di aver subito l’attacco, non ha informato i cittadini di quanto stesse accadendo poiché non ci sarebbero state compromissioni ai danni del funzionamento della rete di trasporti, della sicurezza o della privacy dei passeggeri e dei dipendenti. Le indagini sono in corso .
Gaia Bottà