O grupo de ransomware Royal invadiu os sistemas da cidade de Dallas, exfiltrando dados e realizando atividades de vigilância por um mês antes de lançar um ataque de ransomware que desorganizou as operações da cidade na primavera passada, conforme revelado em um relatório pós-ataque.

O grupo estabeleceu um ponto de apoio na conta de serviço de domínio da cidade, que estava conectada a um servidor, de acordo com o Departamento de Serviços de Risco, Segurança e Conformidade de Tecnologia da Informação da cidade.

Utilizando esse ponto de entrada, o grupo explorou ferramentas de gerenciamento remoto de terceiros para percorrer a infraestrutura da cidade.

Durante as quatro semanas seguintes, os atores da ameaça realizaram atividades de reconhecimento, roubo de dados e preparação para um ataque de ransomware, que começou em 3 de maio.

As atividades de exfiltração de dados resultaram em vazamentos de dados estimados em 1,169 TB antes de 3 de maio, segundo o relatório. Os funcionários da cidade afirmaram que o ataque foi contido em um dia após sua descoberta, mas o dano foi generalizado.

Serviços críticos da cidade, incluindo sistemas de despacho de emergência para polícia, bombeiros e serviços médicos de emergência, foram afetados.

A cidade de Dallas opera mais de 860 aplicações, que suportam cerca de 100 sistemas da cidade em 40 departamentos. A maior parte da infraestrutura de rede e TI de Dallas foi restaurada no início de junho. A cidade aprovou um pagamento de cerca de 8,5 milhões de dólares para fornecedores para esforços de mitigação, recuperação e restauração relacionados ao ciberataque.