Los piratas informáticos exigieron al condado de Suffolk que pagara un rescate de 2,5 millones de dólares tras el ataque cibernético del 8 de septiembre y accedieron a las redes informáticas a través de las computadoras del secretario del condado gracias en parte a la minería ilegal de bitcoins de un exempleado, mostró un informe publicado el miércoles.
Los funcionarios culparon de las vulnerabilidades técnicas a un excomisionado adjunto de tecnología de la información que fue arrestado el año pasado por presuntamente instalar computadoras ocultas en la oficina del secretario de Riverhead en un strategy para extraer bitcoins, el proceso en el que se registran las transacciones de criptomonedas, y a su jefe, que según los funcionarios fracasó. para atrapar el supuesto approach de su ayudante o el ciberataque subsiguiente realizado en parte en nombre del ayudante. Una falla de seguridad en un programa informático conocida como «vulnerabilidad Log4J» también ayudó a que los piratas informáticos entraran por la puerta, según el informe de Palo Alto Networks Inc., una de varias empresas contratadas para ayudar en las secuelas del ataque.
“Como resultado del examen forense, ahora sabemos con certeza que, si bien el director de TI del secretario sabía de la vulnerabilidad, no pudo proteger la infraestructura de TI del secretario del condado de esta amenaza”, dijo a los periodistas el ejecutivo del condado de Suffolk, Steve Bellone, durante una reunión el 21 de diciembre. conferencia de prensa que detalla la cronología del ataque por primera vez. Dijo que el director de TI engañó La secretaria del condado de Suffolk, Judith Pascale, quien no buscó la reelección en noviembre y no respondió a una solicitud de comentarios.
pedro schlessler, el $ 164,636 por año El director de TI de la oficina del secretario del condado recibió una licencia paga en medio de la respuesta en curso al ataque, que le ha costado a Suffolk $ 5.4 millones hasta el momento: $ 3.4 millones en restauración y $ 2 millones en investigación. Christopher Naples, exdiputado de Mattituck, fue despedido luego de ser acusado de corrupción pública, hurto mayor, invasión de computadoras y mala conducta oficial en septiembre de 2021. Se declaró inocente y su caso está pendiente. Cuando los investigadores ingresaron a la sala de TI del empleado, las alarmas indicaban que la temperatura era 20 grados más alta debido al exceso de equipo que sobrecargaba el sistema.
“En lugar de examinar cada dispositivo en ese entorno para averiguar qué estaba pasando, este individuo optó por reprender a un empleado de HVAC”, dijo Bellone sobre llave.
Dos meses después del arresto de Naples, los piratas informáticos de un grupo conocido como BlackCat explotaron por primera vez la vulnerabilidad de Log4J para obtener acceso a los servidores de la oficina del secretario, dijo Bellone. El ejecutivo del condado señaló que debido a que la oficina del secretario es una agencia separada con su propio administrador de TI separado del sistema principal del condado, los colegas de Schlussler que supervisan las operaciones de otras agencias del condado no estaban al tanto de la infiltración. Además, cuando Naples diseñó el entorno de TI para la oficina del secretario — ocultando 46 dispositivos de minería de criptomonedas en el proceso — la oficina del secretario no implementó una actualización de hardware de seguridad cibernética de $1.4 millones conocida como VxRail, dijo Bellone. En cambio, la herramienta que podría haber permitido el monitoreo centralizado y potencialmente frustrado el ataque no se usó desde 2019, agregó.
Los piratas informáticos tuvieron acceso al sistema del empleado durante ocho meses sin ser detectados antes de descubrir una carpeta alojada en el servidor etiquetada como Iron Vital, dijo Bellone. Esa carpeta contenía contraseñas y otra información sensacional que los piratas informáticos aprovecharon para ampliar su acceso más allá de la oficina del secretario. Crearon una cuenta falsa a nombre de Nápoles para avanzar en su ataque.
“Después de adquirir las credenciales necesarias, pudieron migrar al condado”, dijo Bellone. Aproximadamente un mes después, los piratas informáticos emitieron su demanda de ransomware y el condado desconectó su sitio world-wide-web para tratar de contener el daño.
“Al principio de este proceso, determiné que no apoyaría el pago de un rescate”, dijo Bellone. “El pago no es garantía de que los actores criminales cumplirán con su compromiso o que no volverán más tarde para extraer demandas adicionales. Pero lo que es más importante, no sabemos quiénes son estos actores criminales. ¿Son terroristas? ¿Están involucrados en el tráfico sexual? ¿Están involucrados en actividades que son hostiles a los intereses de nuestra nación? Al pagar este rescate, ¿estaríamos usando dólares de los contribuyentes del condado de Suffolk para financiar actividades que podrían dañar la vida humana?”.
El ejecutivo del condado dijo que sin respuestas a ninguna de esas preguntas, no estaba preparado para arriesgarse y pagar el rescate.
Schlussler sabía de antemano que algo andaba mal, dijo Bellone. El ejecutivo del condado publicó un correo electrónico – uno de varios que muestran oportunidades perdidas para detener el ataque – al departamento de TI del condado preguntando sobre la cuenta sospechosa de Naples el viernes anterior al fin de semana del Día del Trabajo, días antes del ataque. No está claro cuánto tiempo llave sabía que había un problema, pero trató de ocultarlo porque tenía “miedo de ser avergonzado una vez más por Chris Naples”, dijo Bellone. Schlussler, quien dijo a los investigadores que creía que Naples estaba detrás del ataque, según Bellone, no pudo ser contactado para hacer comentarios. El dijo noticiario«Hice lo mejor que pude». Ni Naples ni ningún otro sospechoso han sido acusados en relación con el ciberataque.
El ataque causó un efecto dominó en todo el condado. La información crítica para las transacciones de bienes raíces estuvo inaccesible durante semanas. La información own de cientos de miles de residentes se vio comprometida. Los resultados de las elecciones se retrasaron debido a las contingencias establecidas. La policía de Suffolk tuvo que depender de agencias de aplicación de la ley externas para obtener asistencia en el manejo de algunas funciones básicas, como la toma de huellas dactilares. El sitio world wide web principal del condado todavía está inactivo, con una página de inicio temporal con información de contacto básica en su lugar por el momento. Y la investigación prison continúa junto con una investigación legislativa.
“Hemos estado y continuaremos trabajando con el FBI y SCPD con respecto a la investigación criminal en curso”, dijo el fiscal de distrito del condado de Suffolk, Raymond A. Tierney. “Afortunadamente, mi oficina contaba con defensas adicionales de tecnología de Online, por lo que no se comprometieron los procesos penales”.
Bellone dijo que la lección más importante fue la necesidad de simplificar y no compartimentar.
“La complejidad es enemiga de la seguridad”, dijo. “Una única presencia de seguridad de TI con jurisdicción en toda la empresa de TI del condado es el enfoque responsable y necesario para proteger al gobierno y a sus contribuyentes en el futuro”.