Puerto de Seattle afectado por el ransomware Rhysida en un ataque de agosto


Imagen: Durante el viaje

El Puerto de Seattle, la agencia gubernamental estadounidense que supervisa los puertos y aeropuertos de la ciudad, confirmó el viernes que la actividad del ransomware Rhysida estuvo detrás de un ciberataque que afectó sus sistemas durante las últimas tres semanas.

La agencia dijo el 24 de agosto que se había visto obligada a aislar algunos sistemas críticos para limitar el impacto del ataque. La falla de TI resultante interrumpió el sistema de registro de reservas del Aeropuerto Internacional Seattle-Tacoma y retrasó los vuelos.

Hoy, tres semanas después de la divulgación inicial, Port confirmó oficialmente que la infracción de agosto fue un ataque de ransomware coordinado por la filial de ransomware Rhysida.

“Este incidente fue un ataque de 'ransomware' por parte de una organización criminal conocida como Rhysida. Desde ese día, no ha habido nuevos incidentes de fraude en los sistemas del puerto. Los viajes desde el Aeropuerto Internacional Seattle-Tacoma y las instalaciones marítimas en el Puerto de Seattle permanecen seguro para su uso”, dijo el departamento en un comunicado de prensa.

“Nuestra investigación reveló que un actor no autorizado pudo obtener acceso a ciertas partes de nuestros sistemas informáticos y cifrar el acceso a algunos datos”.

La decisión del Puerto de desconectar sus sistemas y el cifrado de sistemas que no fueron aislados a tiempo por parte de la pandilla de ransomware, ha resultado en el cifrado de sistemas por parte del Puerto de Seattle como equipaje, quioscos de facturación, emisión de boletos, Wi-Fi y señalización de pasajeros. y más. Experimentamos una interrupción que afectó a múltiples servicios y sistemas, incluido nuestro sitio web, la aplicación flySEA y el estacionamiento reservado.

Los funcionarios del puerto ya han vuelto a poner en línea la mayoría de los sistemas afectados esta semana, pero el acceso al sitio web del puerto de Seattle, los pases de visitante de SEA, los tiempos de espera de la TSA y la aplicación flySEA (antes del ataque de ransomware de agosto) todavía estamos trabajando para restaurar otros sistemas críticos. servicios, como (si no se descargan).

Port tampoco responderá a la solicitud del grupo de ransomware para comprar herramientas de descifrado, aunque es probable que el grupo publique los datos que robó desde mediados hasta finales de agosto en su sitio de filtración en la web oscura.

“El Puerto de Seattle no pagará a los perpetradores de los ataques cibernéticos a nuestras redes”, dijo el Director Ejecutivo del Puerto de Seattle, Steve Metluck. “Pagar dinero a organizaciones criminales no refleja los valores del Puerto ni nuestro compromiso de ser buenos administradores del dinero de los contribuyentes”.

Rhysida es un ataque de ransomware como servicio (RaaS) relativamente nuevo que surgió en mayo de 2023 y rápidamente ganó notoriedad después de infiltrarse en la Biblioteca Británica y el ejército chileno.

El Departamento de Salud y Servicios Humanos de Estados Unidos (HHS) ha implicado a Rhysida en ataques a instalaciones de atención médica. Al mismo tiempo, CISA y el FBI advirtieron que este grupo cibercriminal también estaba detrás de muchos ataques oportunistas dirigidos a víctimas en una amplia gama de otros sectores industriales.

Por ejemplo, en noviembre, Rhysida comprometió a Insomniac Games, filial de Sony, y filtró 1,67 TB de documentos a la web oscura después de que el estudio de juegos se negara a pagar un rescate de 2 millones de dólares.

Los afiliados de la compañía también comprometieron a la ciudad de Columbus, Ohio, MarineMax (el minorista de yates y embarcaciones recreativas más grande del mundo) y Singing River Health System. Singing River Health System alertó a aproximadamente 900.000 personas de que sus datos fueron robados en el ataque de ransomware Rhysida de agosto de 2023.


https://www.bleepingcomputer.com/news/security/port-of-seattle-says-rhysida-ransomware-was-behind-august-attack/