La città di Knoxville, Tennessee, si sta riprendendo da un attacco di ransomware che ha messo offline la rete della città e ha impedito agli agenti di polizia di rispondere a incidenti stradali non letali. L'incidente è avvenuto mercoledì e ha interrotto i sistemi fino a giovedì. Anche la rete informatica interna della città, il sito Web pubblico e i sistemi giudiziari sono stati colpiti, costringendo a riprogrammare le sessioni giudiziarie del venerdì.
"Il nostro team di Information Technology ha agito rapidamente e ha seguito i protocolli di best practice per arrestare la rete di computer della città, identificare e isolare i problemi e ridurre al minimo i danni",
secondo un comunicato stampa ufficiale della città inviato via e-mail a Threatpost.
“Gli uffici e i servizi della città sono aperti e disponibili come al solito, sebbene i visitatori degli uffici della città possano incontrare alcuni inconvenienti. I dipartimenti comunali si stanno adeguando di conseguenza per soddisfare le esigenze dei residenti e delle imprese. "
Mentre i funzionari non hanno ancora confermato una fonte iniziale del ransomware, i rapporti locali indicano un'e-mail di spear-phishing, che è stata aperta da un dipendente della città. Nessuna informazione finanziaria o personale è stata compromessa, secondo le fonti governative.
Glenn Jacobs, il sindaco della contea di Knox (che comprende la città di Knoxville), ha detto giovedì, tramite Twitter, che mentre la contea e la città condividono l'infrastruttura di rete di base, non ci sono prove di compromessi sulla rete della contea.
"Abbiamo ritirato e reciso la connettività tra tutte le nostre agenzie condivise fino a quando non siamo completamente sicuri che il problema sia stato contenuto", ha affermato.
Secondo le notizie locali, la città ha ricevuto una richiesta di riscatto non specificata dagli aggressori. Threatpost ha contattato i funzionari della città di Knoxville per ulteriori informazioni sulla loro intenzione di pagare il riscatto o meno.
Brett Callow, con Emsisoft, ha dichiarato a Threatpost che, sebbene nessun gruppo di ransomware sia stato ufficialmente collegato all'attacco, "sulla base degli attuali livelli di attività dei gruppi di ransomware e dei profili delle vittime precedenti, i sospetti più probabili per questo attacco sono probabilmente Maze, DoppelPaymer e NetWalker - tutto ciò minaccia la pubblicazione dei dati", ha detto a Threatpost.
Nel 2019, un totale di 113 enti statali o municipali sono state colpite dal ransomware. Knoxville è la 51a città colpita nel 2020, ha affermato Callow.
L'anno scorso, due città della Florida - Lake City e Riviera Beach - sono state entrambe colpite da attacchi ransomware e hanno deciso di ripagare gli hacker. E, dopo che un'eruzione di scuole pubbliche è stata colpita da ransomware a luglio, il governatore della Louisiana ha dichiarato lo stato di emergenza in tutto lo stato. Nel frattempo, la città di Baltimora è un'altra vittima di alto profilo del ransomware, che ha colpito a maggio e ha bloccato alcuni servizi cittadini come bollette dell'acqua, permessi e altro, con gli aggressori che chiedono un riscatto di 76.000 dollari. E nel 2018, diversi sistemi cittadini di Atlanta sono stati famigerati paralizzati dopo che un attacco di ransomware ha estorto il comune a $ 51.000.
Ad agosto, 22 enti del Texas - la maggior parte delle quali erano governi locali - sono state colpite da un attacco di ransomware che secondo i funzionari del Texas fa parte di un attacco mirato lanciato da un singolo attore di minaccia.
"I criminali informatici tendono a prendere di mira le organizzazioni che richiedono il minimo sforzo per hackerare per ottenere il massimo profitto, e i governi statali e locali di solito soddisfano il conto",
ha dichiarato Chris Kennedy, CISO e vicepresidente del successo dei clienti di AttackIQ, in una e-mail.
"Queste agenzie governative più piccole spesso si nascondono lungo le vecchie infrastrutture legacy e quella vecchia infrastruttura legacy è facile da sfruttare per i malintenzionati".
