La ciudad de Dallas, Texas, ha sufrido un ataque de ransomware Royal, lo que provocó que cerrara algunos de sus sistemas de TI para evitar la propagación del ataque.
Dallas es la novena ciudad más grande de los Estados Unidos, con una población de aproximadamente 2,6 millones de personas, según datos del censo de Estados Unidos.
Los medios locales informaron que las comunicaciones policiales y los sistemas de TI de la Ciudad se cerraron el lunes por la mañana debido a un presunto ataque de ransomware.
Esto ha llevado a que los despachadores del 911 tengan que anotar los informes recibidos para los oficiales en lugar de enviarlos a través del sistema de despacho asistido por computadora.
El sitio web del Departamento de Policía del Condado de Dallas también estuvo fuera de línea durante parte del día debido al incidente de seguridad, pero desde entonces ha sido restaurado.
Hoy, la ciudad de Dallas confirmó que un ataque de ransomware causó la interrupción.
«El miércoles por la mañana, las herramientas de monitoreo de seguridad de la Ciudad notificaron a nuestro Centro de Operaciones de Seguridad (SOC) que se había lanzado un probable ataque de ransomware dentro de nuestro entorno. Posteriormente, la Ciudad ha confirmado que varios servidores se han visto comprometidos con ransomware, afectando varias áreas funcionales, incluido el sitio web del Departamento de Policía de Dallas «, explicó un comunicado de prensa de la Ciudad de Dallas.
«El equipo de la ciudad, junto con sus proveedores, están trabajando activamente para aislar el ransomware para evitar su propagación, eliminar el ransomware de los servidores infectados y restaurar cualquier servicio afectado actualmente. El alcalde y el Concejo Municipal fueron notificados del incidente de conformidad con el Plan de Respuesta a Incidentes (IRP) de la Ciudad».
«La Ciudad está trabajando actualmente para evaluar el impacto completo, pero en este momento, el impacto en la prestación de servicios de la Ciudad a sus residentes es limitado. Si un residente experimenta un problema con un servicio de la Ciudad en particular, debe comunicarse con el 311. Para emergencias, deben comunicarse con el 911».
BleepingComputer también ha confirmado que el sistema judicial de la Ciudad canceló todos los juicios con jurado y el servicio de jurado desde el 2 de mayo hasta hoy, ya que sus sistemas de TI no están operativos.
Según el analista de amenazas de Emsisoft, Brett Callow, los ataques de ransomware a los gobiernos locales están muy extendidos, ocurriendo a un ritmo de más de uno por semana.
«Los incidentes que involucran a los gobiernos locales de Estados Unidos ocurren a un ritmo de más de 1 por semana», dijo Callow a BleepingComputer.
«Al menos 29 se han visto afectados por ransomware este año, y al menos a 16 de los 29 se les han robado datos. La mayoría de los incidentes involucran a gobiernos más pequeños y Dallas es, creo, la ciudad más grande que ha sido golpeada en bastante tiempo».
¿Tiene información sobre este u otro ataque de ransomware? Si desea compartir la información, puede comunicarse con nosotros de forma segura en Signal al +1 (646) 961-3731, por correo electrónico a lawrence.abrams@bleepingcomputer.com o utilizando nuestro formulario de consejos.
El ransomware Royal detrás del ataque a Dallas
BleepingComputer se ha enterado de que la operación Royal Ransomware está detrás del ataque a la ciudad de Dallas.
Según numerosas fuentes, las impresoras de red en la red de la Ciudad de Dallas comenzaron a imprimir notas de rescate esta mañana, y el departamento de TI advirtió a los empleados que conservaran las notas impresas.
Una foto de la nota de rescate compartida con BleepingComputer nos permitió confirmar que la operación de ransomware Royal realizó el ataque.
Se cree que la operación de ransomware Royal es una rama del sindicato de cibercrimen Conti, que cobra prominencia después de que Conti cerrara sus operaciones.
Cuando se lanzó en enero de 2022, Royal utilizó encriptadores de otras operaciones de ransomware, como ALPHV / BlackCat, para evitar destacarse. Sin embargo, más tarde comenzaron a usar su propio cifrador, Zeon, en ataques durante el resto del año.
Hacia finales de 2022, la operación cambió su nombre a Royal y rápidamente se convirtió en una de las bandas de ransomware más activas dirigidas a empresas.
Si bien se sabe que Royal viola las redes utilizando vulnerabilidades en dispositivos expuestos a Internet, comúnmente usan ataques de phishing de devolución de llamada para obtener acceso inicial a las redes corporativas.
Estos ataques de phishing de devolución de llamada se hacen pasar por proveedores de software y entrega de alimentos en correos electrónicos que pretenden ser renovaciones de suscripción.
Sin embargo, en lugar de contener enlaces a sitios de phishing, los correos electrónicos contienen números de teléfono con los que la víctima puede contactar para cancelar la supuesta suscripción. En realidad, estos números de teléfono se conectan a un servicio contratado por los actores de amenazas reales.
Cuando una víctima llama al número, los actores de amenazas utilizan la ingeniería social para convencer a la víctima de instalar software de acceso remoto, permitiendo que los actores de amenazas accedan a la red corporativa.
Al igual que otras bandas de ransomware, Royal es conocido por robar datos de las redes antes de cifrar los dispositivos. Estos datos robados se utilizan como palanca adicional en las demandas de extorsión, y los actores de amenazas advierten que filtrarán datos públicamente si no se paga un rescate.
En este momento, se desconoce si los datos fueron robados de la ciudad de Dallas durante el ataque.
Fuente y redacción: underc0de.org