Ataque de ransomware paralizó los servicios informáticos de importante ciudad estadounidense
La ciudad de Dallas, Texas, sufrió un ataque de la banda de ransomware Royal. El ataque provocó que cerrara algunos de sus sistemas informáticos para evitar la propagación del ataque.
Dallas es la novena ciudad más grande de Estados Unidos, con una población de aproximadamente 2.6 millones de personas, según datos del censo estadounidense.
Los medios locales informaron que las comunicaciones policiales y los sistemas informáticos de la ciudad se cerraron el lunes por la mañana debido a un presunto ataque de ransomware.
Esto provocó que los operadores del 911 tuvieran que anotar los informes recibidos para los oficiales en lugar de enviarlos a través del sistema de despacho asistido por computadora.
El sitio web del Departamento de Policía del Condado de Dallas también estuvo desactivado durante parte del día debido al incidente de seguridad. No obstante, unas horas después fue restaurado.
Confirmación del ataque
Hoy, la Ciudad de Dallas confirmó que un ataque de ransomware causó la interrupción.
“El miércoles por la mañana, las herramientas de monitoreo de seguridad de la ciudad notificaron a nuestro Centro de Operaciones de Seguridad (SOC) que probablemente se había lanzado un ataque de ransomware dentro de nuestro entorno. Posteriormente, la ciudad confirmó que varios servidores se vieron comprometidos con ransomware, lo que afectó varias áreas funcionales , incluido el sitio web del Departamento de Policía de Dallas”, explicó un comunicado de prensa de la ciudad de Dallas.
“El equipo de la ciudad, junto con sus proveedores, están trabajando activamente para aislar el ransomware para evitar su propagación. Asimismo, para eliminar el ransomware de los servidores infectados y para restaurar los servicios actualmente afectados. El alcalde y el Concejo Municipal fueron notificados del incidente de conformidad con el Plan de Respuesta a Incidentes (IRP) de la Ciudad”.
“Actualmente, la ciudad está trabajando para evaluar el impacto completo, pero en este momento, el impacto en la prestación de los servicios de la Ciudad a sus residentes es limitado. Si un residente experimenta un problema con un servicio de la Ciudad en particular, debe comunicarse con el 311. Para emergencias, deben comunicarse con el 911”.
Diversos medios también han confirmado que el sistema judicial de la ciudad canceló todos los juicios con jurado y el servicio como jurado desde el 2 de mayo hasta hoy, ya que sus sistemas informáticos no están operativos.
Ataques generalizados
Según el analista de amenazas de Emsisoft, Brett Callow, los ataques de ransomware a los gobiernos locales están generalizados y ocurren a un ritmo de más de uno por semana.
“Los incidentes que involucran a los gobiernos locales de Estados Unidos ocurren a un ritmo de más de 1 por semana”.
“Al menos 29 han sido afectados por ransomware este año, con al menos 16 de los 29 con datos robados. La mayoría de los incidentes involucran a gobiernos más pequeños y Dallas es, creo, la ciudad más grande afectada en bastante tiempo”.
Brett Callow
Banda de ransomware Royal detrás del ataque a Dallas
Expertos aseguran que la banda de Ransomware Royal está detrás del ataque a la ciudad de Dallas.
Según numerosas fuentes, las impresoras de red en la red de la ciudad de Dallas comenzaron a imprimir notas de rescate esta mañana, y el departamento de informática advirtió a los empleados que conservaran las notas impresas.
Una foto de la nota de rescate compartida con algunos medios nos permitió confirmar que la banda de ransomware Royal realizó el ataque.
Se cree que la banda de ransomware Royal es una rama del grupo de delitos cibernéticos Conti, que saltó a la fama después de que Conti cerró sus operaciones
Cuando se lanzó en enero de 2022, Royal utilizó otros cifradores de bandas de ransomware, como ALPHV/BlackCat, para no sobresalir. Sin embargo, luego comenzaron a usar su propio cifrador, Zeon, en ataques durante el resto del año.
Hacia fines de 2022, la banda cambió su nombre a Royal y rápidamente se convirtió en una de las bandas de ransomware dirigidas a empresas más activas.
Si bien sabemos que Royal accede a las redes utilizando vulnerabilidades en dispositivos expuestos a Internet, comúnmente usa ataques de phishing de devolución de llamadas para obtener acceso inicial a las redes corporativas.
Ataques previos
Estos ataques de phishing de devolución de llamadas se hacen pasar por proveedores de software y entrega de alimentos en correos electrónicos que fingen ser renovaciones de suscripción.
Sin embargo, en lugar de contener enlaces a sitios de phishing, los correos electrónicos contienen números de teléfono a los que la víctima puede contactar para cancelar la supuesta suscripción. En realidad, estos números de teléfono se conectan a un servicio contratado por los atacantes de Royal.
Cuando una víctima llama al número, los atacantes utilizan la ingeniería social para convencer a la víctima de que instale un software de acceso remoto. Esto permite que los atacantes accedan a la red corporativa.
Al igual que otras bandas de ransomware, se sabe que Royal roba datos de las redes antes de cifrar los dispositivos. Estos datos robados se utilizan luego como una ventaja adicional en las demandas de extorsión, y los atacantes advierten que filtrarán datos públicamente si no se paga un rescate.
En este momento, se desconoce si se robaron datos de la Ciudad de Dallas durante el ataque.