ミネソタ州セントポール市の当局者は、インターロックランサムウェアグループが、攻撃者の支払い要求を拒否した後、従業員データをオンラインで公開したことを確認しました。
メルビン・カーター市長は、ギャングがセントポール市議会のシステムから盗んだ約43GBのデータを公開したようだと述べました。
「彼らが公開したファイルは、私たちの公園・レクリエーション部門が使用している共有ネットワークドライブ1つからのものであり、そこには従業員個人が長年にわたり自分の個人的なファイルを保存してきた場所です」とカーター市長は、8月11日の記者会見でコメントしました。
「これらは給与、許可、ライセンスなどの主要な市のシステムではありません。内容は多岐にわたり、体系的ではありません。業務文書、人事部への旅行申請のために提出されたIDのコピー、あるいはレシピのような個人的なものまで含まれている可能性があります」と続けました。
市はすべての従業員に対し、12か月間のクレジットモニタリングおよび個人情報盗難対策を提供しています。
記者会見は、サイバーセキュリティ脅威アナリストがインターロックグループがセントポール市のシステムから盗んだとされる情報(従業員や住民の個人情報を含む)でデータリークサイトを更新したことを観測した直後に行われました。
「インフラの大部分が損傷し、多くの損失と被害をもたらした」と、グループは盗まれたデータを含む投稿で述べています。
市長、ランサムウェア交渉の内幕を説明
カーター市長は、市がインターロックと連絡を取っていたことを明らかにしました。彼は、当局が流出データに関する証拠を求めたところ、グループが交渉を打ち切ったと述べました。
「我々は彼らに何を持っているのか示すよう求めましたが、彼らはそれを示す代わりに会話を終わらせることを選びました。これは、彼らがあまり価値のあるものを持っていないと考えていた可能性を示しています」とカーター市長は述べました。
「その評価は、彼らがデータを売ろうとするのではなく無料で公開したという事実とも一致しています」と付け加えました。
カーター市長は、セントポール市のすべてのデータがバックアップされており、当局がシステムとすべてのデータへの完全な管理とアクセスを維持できたことを指摘しました。
これらの要因に加え、FBIやミネソタ州兵からの助言もあり、インターロックのランサムウェア要求に応じない決定となりました。
カーター市長は、セントポール市がサーバー上に約153TBのデータを保有しているため、攻撃者が公開した43GBは全体のごく一部に過ぎないと述べました。
市のサービスは依然として混乱
7月25日にインシデントが検知された後、市は脅威を封じ込めるために全ネットワークのシャットダウンを実施しました。
これは、米国政府機関がインターロックギャングの活動(新しい初期アクセス手法を含む)について勧告を発表してからわずか3日後のことでした。
ネットワークのシャットダウンにより、セントポール市の約30万7千人の住民向けのごみ収集、地域の水道サービス、その他公共事業などのオンライン決済を含む地域サービスが大きく混乱しています。
セントポール市民は、コミュニケーションプラットフォームの復旧が続く間、緊急時以外の全ての問い合わせをメールで当局に連絡するよう指示されています。
緊急対応や公共安全サービスなどの重要業務は完全に稼働しており、カーター市長は、これらのサービスを維持することがインシデント対応中の最優先事項であると強調しました。
7月29日、カーター市長はインシデント対応のために非常事態宣言を発令し、市の緊急管理部門および技術・通信局(OTC)が地元、州、連邦の支援を動員できるようにしました。
カーター市長は、デジタルインフラの安全確保に向けて導入された新たなセキュリティ対策についても最新情報を提供しました:
- 2,000人以上の市議会職員に対する対面でのパスワードリセット、認証情報の確認、セキュリティスキャンの完了
- 全市のユニークなデバイスの90%に高度なセキュリティソフトウェアをインストール
- ミネソタ州兵、FBI、民間のサイバーセキュリティ専門家と連携し、市がホストするすべてのサーバー、システム、アプリケーションの完全性を確保
攻撃者がどのようにしてセントポール市のシステムへの初期アクセスを得たかについては、これまでのところ詳細は明らかにされていません。
画像クレジット: EWY Media / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/st-paul-mayor-interlock-data-leak/