‘Holy Moly!’: Inside Texas ‘lucha contra un hack de ransomware

DALLAS (AP) – Fue un viernes caluroso hace dos agosto cuando Jason Whisler se instaló para un desayuno de trabajo en el restaurante Coffee Ranch en la ciudad de Borger en Texas Panhandle. El tema más urgente de la agenda para los funcionarios de la ciudad como él esa mañana: la planificación de un concierto en el país y un evento de aniversario.

Entonces sonó el teléfono de Whisler. El sistema informático de Borger había sido pirateado.

Los trabajadores quedaron excluidos de los archivos. Los impresores arrojaron demandas de dinero. Durante los siguientes días, los residentes no pudieron pagar las facturas del agua, el gobierno no pudo imprimir cheques, los oficiales de policía no pudieron recuperar ciertos registros. En todo Texas, escenas similares se desarrollaron en casi dos docenas de comunidades afectadas por un ciberataque funcionarios vinculados a un sindicato criminal con sede en Rusia.

En 2019, el ransomware aún no se había convertido en uno de los principales desafíos a los que se enfrenta Estados Unidos. Pero los ataques en Texas fueron un presagio de la amenaza que ahora explota y ofrecen un estudio de caso de lo que sucede detrás de escena cuando las víctimas son atacadas.

Las comunidades de Texas lucharon durante días con interrupciones en los servicios gubernamentales mientras los trabajadores de pequeñas ciudades y pueblos soportaron frustraciones en cascada provocadas por el ciberataque, según miles de páginas de documentos revisados ​​por The Associated Press y entrevistas con personas involucradas en la respuesta. La AP también conoció nuevos detalles sobre el alcance del ataque y las víctimas, incluida una base de la Fuerza Aérea donde se vio afectado el acceso a una base de datos policial y una ciudad obligada a operar su sistema de suministro de agua manualmente.

Los recientes ataques de ransomware han provocado escasez de gasolina y han amenazado el suministro de carne. Pero los ataques de Texas, que, a diferencia de los casos destacados recientes, se resolvieron sin un pago de rescate, dejan en claro que el ransomware no tiene por qué afectar la infraestructura vital ni las grandes corporaciones para interrumpir la vida diaria.

Deberías leer:   Amazon contratará a 125.000 empleados con un promedio de 18 dólares la hora

“Fue una sensación aterradora”, dijo Whisler, coordinador de manejo de emergencias de Borger.

A principios del 16 de agosto, cuando la mayoría de los tejanos aún dormían, los piratas informáticos a medio mundo de distancia se estaban metiendo en las redes.

Cuando el impacto del ataque se hizo evidente, el administrador de la ciudad de Vernon envió un correo electrónico a sus colegas diciéndoles que la ciudad podría volver a conectarse pagando un rescate de $ 2.5 millones, pero ese “obviamente” no era el plan.

“¡¡¡Santo cielo !!!!!” llegó la respuesta.

Los culpables estaban afiliados a REvil, el sindicato vinculado a Rusia que la primavera pasada extorsionó $ 11 millones al procesador de carne JBS y, más recientemente, estuvo detrás de un ataque del fin de semana del 4 de julio que paralizó las empresas de todo el mundo.

Los piratas informáticos de agosto de 2019 se afianzaron mediante un ataque a TSM Consulting Services, una empresa de Texas que brinda servicios de tecnología a los gobiernos locales. Los atacantes se ramificaron a través de software para compartir pantalla y administración remota para tomar el control de las redes de algunos de los clientes de la empresa.

En cuestión de horas, los funcionarios estatales y federales se refugiaron dentro de un centro de operaciones subterráneo que normalmente se usa para calamidades como huracanes e inundaciones. El gobernador Greg Abbott declaró un desastre cibernético. Se activaron los especialistas cibernéticos de la Guardia Nacional de Texas.

“Básicamente, si hay una función municipal para la que iría a un ayuntamiento, o para la que confiaría en el departamento de policía, no estaba disponible”, dijo Andy Bennett, el entonces subdirector de seguridad de la información del estado. .

Deberías leer:   Intuit para comprar Mailchimp por $ 12 mil millones.

En Borger, una ciudad de menos de 13.000 habitantes, las demandas de ransomware salieron de las impresoras y aparecieron en algunas pantallas de computadora. Los archivos del gobierno estaban encriptados, sus títulos reemplazados por combinaciones galimatías de letras y símbolos, dijo el administrador de la ciudad Garrett Spradling.

Los registros vitales, como los certificados de nacimiento y defunción, estaban fuera de línea. Los letreros colocados en una ventana de autoservicio afuera del Ayuntamiento decían que la ciudad no podía procesar los pagos de las facturas de agua, pero que los cortes se retrasarían.

Debido a que la ciudad había pagado por la copia de seguridad remota fuera del sitio, Borger podía reformatear los servidores, reinstalar el sistema operativo y recuperar datos. Sin embargo, el departamento de policía retuvo sus datos a nivel local y los oficiales no pudieron acceder a informes de incidentes anteriores, dijo Spradling.

Jeremy Sereno estaba trabajando como civil en Dell cuando el estado lo reclutó para ayudar. Teniente coronel y oficial superior de ciberseguridad del Departamento Militar de Texas, Sereno ayudó a desplegar tropas de la Guardia Nacional de Texas en ciudades pirateadas, donde especialistas trabajaron para evaluar los daños, restaurar datos de archivos respaldados y retomar el control de los sistemas bloqueados.

Una de las primeras áreas de preocupación fue una pequeña ciudad del norte de Texas. El ataque bloqueó la “interfaz hombre-máquina” que los trabajadores usaban para controlar el suministro de agua, lo que los obligó a operar el sistema manualmente, dijo Sereno. La pureza del agua no se puso en peligro.

“Eso es lo que se considera infraestructura crítica, cuando se habla de agua”, dijo.

AP no está identificando la ciudad a instancias de los funcionarios estatales, quienes dijeron que hacerlo podría generar nuevos ataques a su sistema de agua.

Deberías leer:   El juicio a Theranos de Elizabeth Holmes en imágenes

En Graham, el ransomware atacó un servidor de la policía que contenía videos de cámaras corporales, lo que provocó la pérdida de cientos. En lugar de usar terminales de datos móviles para controlar a las personas que encontraron, los oficiales tuvieron que confiar en las solicitudes a los despachadores en la oficina del alguacil local que no se vio afectado por el ataque, dijo el jefe Brent Bullock.

El impacto no se limitó a los gobiernos locales. La Base de la Fuerza Aérea Sheppard confirmó a AP que su acceso a una base de datos de las fuerzas del orden público en todo el estado que se utiliza para la verificación de antecedentes se interrumpió temporalmente.

Una complicación: la lista de clientes de TSM estaba encriptada, dijeron los funcionarios. Los funcionarios estatales no supieron de inmediato qué comunidades habían sido victimizadas.

Tuvieron que llamar, dijo Nancy Rainosek, directora de seguridad de la información de Texas. “Hubo un lugar al que contactamos y dijeron, ‘no, no, no nos atacaron’”, dijo. Días después, “dijeron, ‘sí, lo estábamos'”.

Afortunadamente para Borger, la mayoría de los servicios de la ciudad se restablecieron en unos días. Desde entonces, la ciudad ha invertido en protecciones de ciberseguridad adicionales.

“Cuando te quejas de tener que cambiar tus contraseñas, te quejas mucho más cuando nunca te ha pasado y no tienes nada con qué relacionarlo”, dijo Spradling. “Tiende a quejarse un poco menos después de haber tenido que contestar el teléfono y decirle a 300 personas que no podían pagar su factura de agua”.

Incluso ahora, dijo Spradling, los funcionarios irán a buscar un informe antiguo o un registro de dirección, solo para descubrir que no está allí.

Regístrese para recibir boletines informativos diarios

Copyright © 2021 The Washington Times, LLC.