'Holy Moly!': Texas 'lucha contra un hack de ransomware
Fue el comienzo de un caluroso viernes hace dos agosto cuando Jason Whisler se instaló para un desayuno de trabajo en el restaurante Coffee Ranch en la ciudad de Borger, en Texas Panhandle
Entonces sonó el teléfono de Whisler. El sistema informático de Borger había sido pirateado.
Los trabajadores quedaron excluidos de los archivos. Los impresores arrojaron demandas de dinero. Durante los siguientes días, los residentes no pudieron pagar las facturas del agua, el gobierno no pudo procesar la nómina, los oficiales de policía no pudieron recuperar ciertos registros. En todo Texas, escenas similares se desarrollaron en casi dos docenas de comunidades afectadas por un ciberataque, y funcionarios finalmente vinculados a un sindicato criminal con sede en Rusia.
En 2019, el ransomware aún no se había convertido en una de las principales preocupaciones de seguridad nacional que enfrenta Estados Unidos, un tema que se convertiría en el foco de una cumbre presidencial entre Washington y Moscú este año. Pero los ataques en Texas fueron un presagio de la amenaza ahora en explosión y ofrecen un vívido estudio de caso de lo que sucede detrás de escena cuando un pequeño pueblo de Estados Unidos es atacado.
Las comunidades de Texas lucharon durante días con interrupciones en los servicios gubernamentales centrales mientras los trabajadores de las pequeñas ciudades y pueblos soportaron una cascada de frustraciones provocadas por el sofisticado ataque cibernético, según miles de páginas de documentos revisados por The Associated Press y entrevistas con personas involucradas en la respuesta. . La AP también conoció nuevos detalles sobre el alcance del ataque y las víctimas, incluida una base de la Fuerza Aérea donde se interrumpió el acceso a una base de datos policial y una ciudad obligada a operar su sistema de suministro de agua manualmente.
Más de la sección
En los últimos meses, un ataque de ransomware provocó escasez de gasolina . Otro, vinculado a la misma banda de piratas informáticos que atacó las comunidades de Texas, amenazó con el suministro de carne . Pero los ataques de Texas, que, a diferencia de estos casos destacados, se resolvieron sin el pago de un rescate, dejan en claro que el ransomware no tiene por qué afectar la infraestructura vital o las grandes corporaciones para interrumpir la vida diaria.
“Fue simplemente una sensación aterradora”, relató Whisler, coordinador de manejo de emergencias de Borger, en una entrevista.
Esa tarde, cuando el impacto del ataque se hizo evidente, el administrador de la ciudad de Vernon envió un correo electrónico a sus colegas sobre un virus de “tipo rescate” que afectaba al departamento de policía. La ciudad cercana a la frontera del estado de Oklahoma podría volver a conectarse pagando los $ 2.5 millones que los piratas informáticos estaban exigiendo, escribió, pero ese "obviamente" no era el plan.
"¡¡¡Santo cielo !!!!!" respondió la comisionada municipal Pam Gosline, ahora alcaldesa.
Los culpables estaban afiliados a REvil, el sindicato vinculado a Rusia que la primavera pasada extorsionó $ 11 millones al procesador de carne JBS y, más recientemente, estuvo detrás de un ataque del fin de semana del 4 de julio que paralizó las empresas de todo el mundo. En el caso de Texas, sin embargo, las comunidades finalmente pudieron recuperar la mayoría de sus datos y reconstruir sus sistemas sin que nadie pagara rescate.
Los piratas informáticos se afianzaron a través de un ataque a una empresa de Texas que brinda servicios de tecnología a los gobiernos locales, ramificándose a través de software para compartir pantallas y administración remota para tomar el control de las redes de algunos de los clientes de la compañía.
Un primer indicio de problemas llegó con una llamada telefónica a las 2 am al presidente de la empresa, Richard Myers. Su compañía, TSM Consulting Services Inc., brinda servicios de comunicaciones de datos para las comunidades de Texas, vinculando a las agencias policiales con una base de datos de las fuerzas del orden público en todo el estado.
Uno de los servidores de su cliente no respondía, le dijeron. Tras la inspección, Myers notó que alguien que se suponía que no debía estar en el sistema informático estaba intentando instalar algo de forma remota. Reinició el servidor. Al principio, las cosas parecían arregladas hasta que el departamento volvió a llamar: una de sus computadoras portátiles tenía una nota de rescate.
Pronto quedó claro que el problema no se limitaba a un solo cliente.
“No creo que puedas comenzar a expresar el terror que pasa por tu mente cuando algo así comienza a desarrollarse”, dijo.
En cuestión de horas, los funcionarios estatales se refugiaron dentro de un centro de operaciones subterráneo que normalmente se usa para calamidades como huracanes e inundaciones. El gobernador Greg Abbott lo declaró un desastre cibernético. Se activaron los especialistas cibernéticos de la Guardia Nacional de Texas.
"Si necesitaba construir algo, necesitaba una inspección, algo así, sin suerte durante una semana", dijo Andy Bennett, el entonces subdirector de seguridad de la información del estado. “¿Búsqueda de registros? No pude buscar registros. Básicamente, si hay una función municipal para la que irías a un ayuntamiento, o para la que dependerías del departamento de policía, no estaba disponible ".
_____
En Borger, una ciudad de menos de 13.000 habitantes, los primeros indicios fueron preocupantes mientras la ciudad se apresuraba a apagar sus computadoras.
Las demandas de rescate de galimatías salieron de las impresoras y se mostraron en algunas pantallas de computadora. Los archivos del gobierno estaban encriptados, con títulos como “Documento presupuestario” reemplazados por combinaciones absurdas de letras y símbolos, dijo el actual administrador de la ciudad, Garrett Spradling.
Los registros vitales, como los certificados de nacimiento y defunción, estaban fuera de línea. No se pudieron procesar los pagos, no se pudieron emitir los cheques, aunque, afortunadamente para Borger, fue una semana libre para la nómina. Los letreros colocados en una ventana de autoservicio afuera del ayuntamiento les dijeron a los residentes que la ciudad no podría procesar los pagos de las facturas de agua, pero que los cortes se retrasarían.
Una actualización compartida con los funcionarios de la ciudad poco después del ataque describía cómo todos los servidores estaban infectados, al igual que aproximadamente el 60% de las 85 computadoras inspeccionadas en ese momento. Un correo electrónico del gobierno de la ciudad les dijo a los miembros del consejo que las agendas para una reunión estarían en formato de papel, "ya que sus tabletas no podrán conectarse". Un funcionario le dijo a un juez que no estaba claro si los sistemas informáticos estarían operativos a tiempo para los juicios que faltan dos días.
Debido a que la ciudad había pagado por la copia de seguridad remota fuera del sitio, Borger tenía la capacidad de reformatear los servidores, reinstalar el sistema operativo y recuperar los datos. Un servidor recién comprado que aún no se había instalado fue útil. Sin embargo, el departamento de policía retuvo sus datos a nivel local y el ataque obstaculizó el acceso de los oficiales a informes de incidentes anteriores, dijo Spradling.
Mientras trabajaban para resolver el problema, los funcionarios compartieron borradores de comunicados de prensa que ofrecían garantías de que continuarían las operaciones críticas de emergencia y que los ataques no eran un reflejo de ningún paso en falso de la ciudad.
Un concejal, un veterano militar llamado Milton Ooley, advirtió contra la publicidad de la "forma de terrorismo" de los piratas informáticos.
"Esto es coherente con mi experiencia de primera mano sobre cómo Estados Unidos manejó el terrorismo en Europa cuando estuve allí a finales de los 70, parte del cual estaba dirigido a unidades estadounidenses, incluidas unidades de misiles con las que trabajé o en las que trabajé durante esos días", escribió a sus colegas. . En una entrevista, dijo que creía que el público tenía derecho a la información, pero los piratas informáticos no merecían notoriedad.
El día del ataque, Jeremy Sereno estaba trabajando como civil en Dell cuando fue contactado por el estado sobre el ataque. Teniente coronel y oficial superior de ciberseguridad del Departamento Militar de Texas, Sereno comenzó a ayudar a desplegar tropas de la Guardia Nacional de Texas en ciudades pirateadas, donde especialistas durante las próximas dos semanas ayudaron a evaluar el daño, restaurar datos de archivos respaldados y retomar el control de sistemas bloqueados .
Una de las primeras áreas de preocupación fue una pequeña ciudad del norte de Texas donde el ataque bloqueó la "interfaz hombre-máquina" que los trabajadores usaban para controlar el suministro de agua, lo que los obligó a operar el sistema manualmente, dijo Sereno. No se puso en peligro la pureza del agua.
"Ese fue probablemente nuestro mayor número uno", dijo Sereno. "Eso es lo que se considera infraestructura crítica, cuando se habla de agua".
AP no está identificando la ciudad a instancias de los funcionarios estatales, quienes dijeron que hacerlo podría generar nuevos ataques a su sistema de agua.
En Graham, una pequeña ciudad a un par de horas al oeste de Dallas, el virus informático atacó un servidor de la policía que contenía videos de cámaras corporales, causando la pérdida de cientos de ellos, dijo el sargento. Chris Denney.
Durante días, los agentes tuvieron que usar cuadernos y bolígrafos para tomar informes. En lugar de usar terminales de datos móviles para controlar a las personas, los oficiales tuvieron que depender de las solicitudes a los despachadores de la oficina del alguacil que no se vio afectada por el ataque, dijo el jefe Brent Bullock.
“Eso ha estado al alcance de estos oficiales durante años, y luego, de repente, ya no lo tienen”, dijo Bullock. Los oficiales, agregó, "tuvieron que volver a la vieja escuela".
Otras comunidades desconectaron de forma preventiva sistemas potencialmente vulnerables. En el suburbio de Leander en Austin, la ciudad cerró el programa que la policía usaba para verificar las matrículas durante 24 horas mientras el personal de TI trabajaba para confirmar que no había sido expuesto.
Los correos electrónicos revelan momentos de exasperación a medida que persistían los problemas.
Spradling se quejó con una empresa de tecnología externa sobre "retrasos masivos" para obtener una respuesta a una solicitud de soporte. Los gerentes de tecnología locales se quejaron de lo que percibían como secretismo estatal y policial. Varias de las ciudades que no fueron afectadas se quejaron en correos electrónicos después del ataque de que no les habían dicho de qué compañía se propagó el ransomware y que no tenían suficiente información para garantizar que sus sistemas estuvieran seguros.
El impacto no se limitó a los gobiernos locales. La Base de la Fuerza Aérea Sheppard confirmó a AP que su acceso a una base de datos de las fuerzas del orden público que se usa para verificar los antecedentes de los visitantes se interrumpió temporalmente, lo que provocó demoras en la emisión de pases. Por lo demás, las operaciones no se vieron afectadas.
Los funcionarios de la base conjunta San Antonio Randolph, que según los registros públicos también se vio afectada, no respondieron directamente a las preguntas sobre el ataque, pero dijeron que no tuvo ningún impacto en las "misiones o la seguridad de la red" y que la base "en su conjunto" no era un objetivo. .
Una complicación: la lista de clientes de TSM estaba encriptada, aunque finalmente se obtuvo una copia, dijeron los funcionarios. Los funcionarios estatales no supieron de inmediato qué comunidades habían sido victimizadas. Llamaron preguntando: “¿Te impactaron? ¿Te impactaron? ¿Te impactaron? " dijo Nancy Rainosek, directora de seguridad de la información de Texas.
“Hubo un lugar al que contactamos y dijeron, 'no, no, no nos atacaron'”, dijo Rainosek. Luego, días después, "dijeron, 'sí, lo estábamos'".
_____
Los funcionarios estatales pasaron una semana completa dentro de su puesto de mando, construido para resistir una explosión nuclear, y usaron un mapa para trazar la propagación del ataque. En total, unas 23 entidades gubernamentales fueron finalmente sombreadas para indicar que habían sido atacadas.
“Es un poco complicado porque estás tratando de mantenerte enfocado y presente en las personas que conoces”, dijo Amanda Crawford, directora ejecutiva del Departamento de Recursos de Información de Texas. “Pero te preocupas continuamente por '¿Hay algo que te estás perdiendo? ¿O hay otros, que vas a recibir otra llamada de que alguien más ha sido atacado? '”
Para el miércoles por la noche, según muestran los registros, se restablecieron la mayoría de los servicios de la ciudad en Borger, incluidos los pagos de servicios públicos, las estadísticas vitales y la mayoría de las computadoras de los empleados. La situación se había estabilizado; la ciudad terminó con alrededor del 80% de sus datos y el concierto que Whisler estaba planeando sucedió según lo programado.
Aún así, en una ciudad con un presupuesto de aproximadamente $ 31 millones, Borger tuvo que lidiar con gastos de TI de horas extras y compró $ 44,000 en computadoras nuevas. Se invirtió en protecciones de ciberseguridad adicionales, incluidos unos $ 30,000 en costos anuales para copias de seguridad remotas adicionales.
Los funcionarios de Borger en las semanas previas al ataque habían discutido la mejora del nivel de amenaza de los ciberataques. Estas consideraciones son ahora más que teóricas.
“Cuando te quejas de tener que cambiar tus contraseñas, te quejas mucho más cuando nunca te ha pasado y no tienes nada con qué relacionarlo”, dijo Spradling. "Suele quejarse un poco menos después de haber tenido que contestar el teléfono y decirle a 300 personas que no podían pagar la factura del agua".
Pero el daño permanece dos años después.
A veces, incluso ahora, dijo Spradling, los funcionarios buscarán un informe antiguo o un registro de dirección, solo para descubrir que no está allí.