Kao što smo već pisali, Municipal Transportation Agency američkog grada San Francisca (SFMTA) našla se tijekom vikenda na udaru hakera koji je uspio upasti u njihov računalni sustav, zaraziti malverom više od dvije tisuće računala, enkriptirati dokumente i blokirati automate za prodaju prijevoznih karata. Tražio je sto bitkoina (oko 73 tisuće dolara) otkupnine.

U obratu kojemu ne manjka ironije haker je i sam postao žrtvom bijelog hakera koji je objavio pojedinosti o njegovim drugim žrtvama, kao i aluzije o mogućem identitetu i lokaciji.

Stručnjak za računalnu sigurnost koji je tražio da ostane anoniman kontaktirao je web odredište KrebsOnSecurity i priopćio im kako je uspio upasti u hakerov sandučić za e-poštu tako što je pogodio odgovor na njegovo tajno pitanje i potom resetirao lozinku. Koristeći iste pristupne podatke upao je i u njegovu pričuvnu e-mail adresu cryptom2016@yandex.com.

Među hakiranom e-poštom je i poruka koju je napadač poslao 25. studenog direktoru infrastrukture u SFMTA-i Seanu Cunninghamu, u kojoj ga obavještava o napadu i traži otkupninu. Potpisao ju je pseudonimom Andy Saolis

Uvid u ostalu poštu pokazao je kako je nedavno uspješno iznudio 63 bitkoina (oko 45 tisuća dolara) od proizvodne tvrtke sa sjedištem u Sjedinjenim Državama.

Čini se kako haker ima običaj nasumično zamjenjivati novčanike za bitkoin svakih nekoliko dana ili tjedana. Pregled više od desetak bitkoin novčanika, koliko ih je koristio od kolovoza ove godine, upućuje na zaključak kako je uspješno iznudio bar 140 tisuća dolara.

Moguće i znatno više jer neimenovani bijeli haker nije uspio provaliti u još jedan sandučić e-pošte pri Yandexu, w889901665@yandex.com, kojeg je ucjenjivač koristio između kolovoza i listopada ove godine, a koji je povezan s brojnim pozivima za pomoć žrtava napada ransomwareom Mamba i HDD Cryptor na tehnološkim forumima.

Čini se kako nije namjerno ciljao SFMTA već je koristio alat koji pretražuje internet u potrazi za ranjivostima u sustavu. Mete su mu uglavnom bile proizvodne i građevinske tvrtke u SAD-u.

Većina je platila tražene otkupnine u cijelosti, obično bitkoin po serveru. Neke su uspjele ispregovarati nižu otkupninu. Tako je China Construction of America Inc. platila 40 umjesto 60 bitkoina za dekriptiranje šezdesetak poslužitelja.

Žrtvama je rutinski nudio pomoć u obrani od sličnih napada, za dodatnu naknadu u bitkoinima. U jednom slučaju iz studenog 2015. žrtva je bila više nego voljna platiti. Zauzvrat je dobila poveznicu na web poslužitelj i uputu kako instalirati ključnu sigurnosnu nadogradnju u Java aplikaciji koju koristi.

U drugim slučajevima prijetio je kako će podaci koje je enkriptirao nestati zauvijek ako ne plate u roku od 48 sati ili kako će svakog dana povećavati otkupninu.

Čini se kako su ga u brojnim slučajevima žrtve kontaktirale s friško napravljenih e-mail adresa, nesvjesne kako je već dovoljno duboko prodro u njihove sustave kako bi znao sve što treba znati, uključujući i kontakte šefova odjela za IT.

Web poslužitelj kojeg je napadač koristio daje nagovještaje o njegovoj mogućoj lokaciji jer sadrži detaljne podatke o vremenu, datumu i internetskoj adresi svakog njegovog logiranja.

Pregled više od 300 adresa korištenih pri administraciji servera otkrio je kako je njime upravljano gotovo isključivo putem internetskih adresa u Iranu, a i bilješke o žrtvama su na jeziku koji bi mogao biti farsi ili perzijski.

Korisnička imena koja je rabio bila su Alireza i Mokhi. Ali Reza je vrlo često ime među Irancima, Arapima i Turcima - riječ je o sedmom potomku islamskog proroka Muhameda.

S druge strane, korisnički račun pri pružatelju usluga hostinga povezuje ga s telefonskim brojem +78234512271 i mobilnim telekomom u Rusiji. No, moguće je kako je to varka za istražitelje.

Više:Krebs On Security