Ransomare-aanval op Amerikaanse stad Dallas begon via service-account

De aanvallers die een omvangrijke ransomware-aanval op de Amerikaanse stad Dallas uitvoerden kwamen binnen via een service-account, zo blijkt uit een onderzoeksrapport naar het incident (pdf). Op 3 mei van dit jaar vond de ransomware-aanval plaats, die de dienstverlening aan inwoners ontregelde en ervoor zorgde dat de website van het politiekorps offline ging. Centralisten van alarmlijn 911 moesten instructies voor agenten, die alleen via telefoon en radio konden reageren, met pen en papier noteren. De aanval werd opgeÃĢist door de criminelen achter de Royal-ransomware.

Uit het onderzoek naar de aanval blijkt dat de aanvallers op 7 april van dit jaar via een service-account toegang tot een server van de stad kregen. Hoe de aanvallers over de inloggegevens van dit account konden beschikken is niet bekend. Vervolgens werden verdere inloggegevens verzameld, het stadsnetwerk verkend en ruim 1,1 terabyte aan data buitgemaakt. Op 3 mei besloten de aanvallers de ransomware uit te rollen.

De stad heeft tot nu toe veertigduizend uur vrijgemaakt voor het oplossen van de gevolgen, alsmede een budget van maximaal 8,5 miljoen dollar toegewezen. Dit geld is uitgegeven aan het verhelpen, herstellen en onderzoeken van de aanval. Het herstellen van alle systemen duurde meer dan een maand.

Bron: Security.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

12Privacy.nl