Администрацията на град Потсдам стана жертва на масивна кибератака

Администрацията на град Потсдам стана жертва на масивна кибератака
масивна кибер атака

Град Потсдам прекъсна интернет връзката на администраторите на сървърите след кибератака, която се проведе миналата седмица. Службите за сигурност, включително противопожарната служба на града, са напълно работещи и плащанията не са засегнати.

Потсдам е най-големият град и столица на германската федерална провинция Бранденбург, граничеща със столицата на Германия, Берлин.

Системите на столицата на Бранденбург все още са офлайн, след като криминален достъп до сървърите на администрацията на Потсдам беше забелязан във вторник и интернет връзката им беше прекъсната в сряда вечерта, за да се предотврати изтичането на данни.

“Ние поставяме системите си офлайн от съображения за сигурност, защото трябва да се борим с незаконна кибератака”, заяви кметът Майк Шуберт преди два дни. “Ние работим денонощно, за да гарантираме, че засегнатите системи за администриране ще бъдат  включени отново възможно най-скоро и че можем да работим безопасно.”

“Предисторията на това е слаба точка в системата на външен доставчик, който се опитва да извлече данни от столицата на провинцията отвън без разрешение или да инсталира зловреден софтуер”, се казва в официално изявление.

“За да се анализира щетата и да се гарантира сигурността на данните,на  външните компании за сигурност на информационните технологии и експертите по ИТ криминалистика е  възложено да подкрепят ИТ специалистите в администрацията в тяхната работа.”

Актуализация, публикувана днес, допълнително обяснява, че администрацията на Потсдам не може да получава имейли отвън и всички входящи имейли също няма да бъдат препращани.

Поради това всички граждани, които трябва да се свържат, са помолени да подадат заявленията си писмено по пощата или да се обадят на служителите на администрацията на Потсдам по телефона.

„Всички онлайн базирани приложения на градската администрация понастоящем не могат да се използват. Те включват услугите, които са от значение за гражданите, включително службата за регистрация на моторни превозни средства, службата на регистрация и портала Maerker и Maerker Plus“, се добавя в днешната актуализация.

„Услугите в Центъра за обслужване на граждани в момента са достъпни само в ограничена степен; в услугите за граждани все още не можете да плащате с карта.“

Уязвимите сървъри на Citrix може да са виновни атаката

Докато новините на град Потсдам относно кибератаката не навлизат подробно в това какъв е бил методът, използван от нападателите за проникване в мрежата, германският журналист Хано Бьок намери Citrix ADC сървърите в мрежата на администрацията уязвими за атаки, използващи уязвимостта на CVE-2019-1978 ,

Бьок казва, че намерените от него сървъри не са били защитени чрез мерки за смекчаване, предоставени от Citrix преди повече от месец.

Преди два дни Citrix пусна безплатен скенер за откриване на хакерски уреди Citrix ADC, като копае за индикатори за компромис (IoC), свързани с експлоатацията на CVE-2019-19781.

Агенцията за сигурност на киберсредата и инфраструктурата (CISA) също пусна инструмент, предназначен да провери дали сървърите на Citrix са уязвими на 13 януари, докато Холандският национален център за киберсигурност (NCSC) посъветва компаниите да закрият напълно уязвимите случаи на Citrix, докато не бъдат налични надеждни корекции.

Не на последно място, Citrix започна да пуска постоянни корекции за активно използваната уязвимост CVE-2019-19781 за всички уязвими версии на уредите Citrix ADC, Citrix Gateway и Citrix SD-WAN WANOP.

Очаква се компанията да закърпи последната поддържана версия на фърмуера по-късно днес с пускането на постоянна поправка за версия 10.5.

Сканирането на уязвимите сървъри на Citrix стартира на 8 януари, докато експлоатациите с доказателство за концепция (PoC) бяха публично публикувани два дни по-късно.

Несвързани сървъри на Citrix, използвани за заразяване на цели с ransomware

За да се влошат нещата, ако кметството на Потсдам действително е било инфилтрирано чрез незащитен сървър на Citrix, неосигурените Citrix сървъри в момента се използват като начални точки за достъп до мрежите на жертвите на ransomware според изследователя по сигурността на Breach and FireEye Андрю Томпсън.

“Много тактическа предварителна актуализация. Изглежда, че един престъпник използва CVE-2019-19781 за първоначален достъп и други уязвимости, за да се насочи в среда на Windows, за да внедрява софтуер за откупуване”, каза Томпсън. “Ако все още не сте започнали подсигуряване, наистина трябва да обмислите последствията.”

“Разгледах файловете #REvil, публикувани от http://Gedia.com, след като те отказаха да платят #ransomware“, каза Томпсън, като се позова на неотдавнашната ransomware атака Sodinokibi, засягаща немската GEDIA Automotive Group.

“Интересното, което открих, е, че очевидно те хакнаха GEDIA чрез експлойта  #Citrix. Обзалагам се, че всички скорошни цели бяха достъпни чрез този метод.”

Въпреки че няма официално изявление, което казва, че кибератаката, която принуждава общинската администрация на Потсдам да премахне сървърите си от Интернет, е атака за изнудване, всички признаци в момента сочат в тази посока.

Източник: По материали от интернет

Сподели в:

Категории:

Следвай ни в: