Etaten som har ansvaret for driften av blant annet metroen i San Francisco, San Francisco Municipal Transportation Agency (SFMTA), ble fredag i forrige uke utsatt for et omfattende angrep med utpressingsvare (ransomware).
Over 2000 pc-er
Ifølge The Register ble harddiskene til mer enn 2000 av de over 8000 datamaskinene i nettverket kryptert av en variant av skadevaren HDDCryptor, som også overskrev diskenes MBR (Master Boot Record) og startet systemene på nytt.
Resultatet skal ha vært at det på skjermen ble vist en melding at dataene var blitt kryptert og kontaktinformasjon for å få tilgang til nøklene til å låse opp. Mye tyder på at hver maskin var blitt kryptert med en unik nøkkel. Kravet var på 100 bitcoin, drøyt 600 000 kroner.
Men ingenting tyder på at SFMTA har betalt inn løsepengen. Det har knapt kommet inn noen penger på Bitcoin-adressen som skal ha blitt brukt.
Les også: – Utpressingsvare har rammet to av fem virksomheter
Billettsystemet nede
Noen komplett oversikt over hvilke konsekvenser angrepet har hatt, finnes foreløpig ikke. Men fredag kveld valgte transportetaten å deaktiver hele billettsystemet og å åpne sperringene. Det førte til at passasjene kunne reise gratis, for selve transporttjenestene skal i liten grad ha blitt berørt av angrepet.
Men også andre, interne systemer skal ha blitt berørt, angivelig også lønningssystemet. Twitter-bildet nedenfor en informasjonsterminal som tydelig har berørt av angrepet.
Apparently the SF Muni fell victim to ransomware last night #sanfrancisco #infosec pic.twitter.com/E1OVQpAAzY
— Colin Heilbut (@ColinHeilbut) 26. november 2016
Til The Register opplyser utpresserne at det ikke dreier seg om et rettet angrep, men at det hele har skjedd automatisk. De omtaler nettverket til SFMTA som veldig åpent.
Etaten har kommet med lite informasjon om angrepet og hvordan problemene eventuelt har blitt løst. Søndag kveld skrev The San Francisco Examiner at noen av billettautomatene var blitt gjenopprettet. Omtrent samtidig skrev San Francisco Chronicle at SFMTA hadde gjenopprettet driften, samtidig som at en etterforskning var blitt igangsatt.
Likevel er det kjent at tildelingen av ruter til sjåfører og togførere ble gjort ved hjelp av håndskrevne oversikter så sent som søndag ettermiddag.
Leste du denne? Dette var tidenes første «ransomware»
