達拉斯市是德州第三大城市,美國第九大城市,被英國羅浮堡大學地理系的「全球化及世界城市研究網路」列為第三類世界級城市,即小型世界級城市
駭客進行的勒索軟體攻擊變得越來越普遍,雖然他們大多數針對企業、組織或個人,但也有一些針對大城市。5月3日,美國德州達拉斯市(City of Dallas) 成為皇家勒索軟體(Royal Ransomware)的最新受害者,被迫關閉其 IT 系統以防止攻擊蔓延。
據當地媒體報導稱,由於勒索攻擊導致達拉斯市政廳伺服器當機並導致達拉斯警察局 (Dallas Police Department) 網站斷網,儘管官方表示為居民提供的 911 緊急服務未受影響,但警察的調度單是以手寫的方式或無線電通知,而不是通過數位調度系統,消防員回應緊急呼叫的電腦輔助調度系統也出現問題,從一大早開始,就一直在進行人工調度的操作。隨後該市確認了這起資安全事件,直到目前仍正在努力從影響其服務的勒索軟體攻擊中恢復。其他受影響的系統包括處理入獄和犯罪報告的系統。該市的法院系統也被關閉,導致陪審團審判被取消,直至另行通知。
達拉斯市發布的聲明表示,其安全營運中心使用的安全監控工具在其環境中偵測到勒索軟體攻擊,該市已確認許多伺服器(不到 200 台設備)已被勒索軟體入侵,影響了幾個功能區域,包括引人關注的達拉斯警察局網站,該市團隊及其供應商正在積極努力隔離勒索軟體,以防止它的傳播,並積極地恢復當前受影響的任何服務,根據該市的事件回應計劃 (IRP),市長和市議會已獲悉該事件。
據報導,達拉斯市網路上的印表機於週三(5/4)早上開始印出勒索信,證明Royal勒索軟體組織發動此次攻擊,勒索信中含有指向 Royal 暗網的URL以供受害者向其聯繫。值得一提的是,竣盟科技在Royal的暗網揭秘網站上並沒有發現達拉斯市的頁面,因此無法得知什麼類型的數據被盜。與許多其他勒索軟體組織一樣,Royal 會在加密目標系統之前洩露大量數據。該組織還使用間歇性加密(Intermittent Encryption)來避免檢測並更快地感染系統。雖然 Royal可能會洩露數據以進一步勒索達拉斯市,但尚未確認敏感數據是否從該市被盜,也無法確認 Royal 是否提出了具體的贖金要求。
根據美國聯邦調查局(FBI)與網路安全暨基礎設施安全局(CISA)於 2023 年 3 月發布的網路安全諮詢,自 2022 年 9 月以來,該組織已經入侵了多家美國和國際上的組織。該諮詢指出,Royal勒索軟體組織的目標是製造、通信、醫療保健和公共醫療保健 (HPH) 以及教育。
該諮詢報告稱,Royal 在 66.7% 的時間裡使用網路釣魚電子郵件來存取受害網路。為Royal勒索軟體主要傳播途徑,一旦進入系統,Royal就會在部署勒索軟體和在加密系統之前禁用防毒軟體,將試圖阻止攻擊的人拒之門外。在過去的攻擊中,Royal曾提出的贖金要求從 100 萬美元到 1100 萬美元不等。
Royal 的部分入侵指標(Indicator of compromise -IOCs):
8A983042278BC5897DBCDD54D1D7E3143F8B7EAD553B5A4713E30DEFFDA16375
8a99353662ccae117d2bb22efd8c43d7169060450be413af763e8ad7522d2451
be030e685536eb38ba1fec1c90e90a4165f6641c8dc39291db1d23f4ee9fa0b1
B8C4AEC31C134ADBDBE8AAD65D2BCB21CFE62D299696A23ADD9AA1DE082C6E20
4a9dde3979c2343c024c6eeeddff7639be301826dd637c006074e04a1e4e9fe7