La policía de Cockrell Hill, de Texas, admitió ayer en un comunicado de prensa que perdieron 8 años de pruebas después de que el servidor del departamento estuviera infectado con ransomware.






Las evidencias perdidas incluye todo el video de la cámara del cuerpo, algunos video en el coche, algunos video de vigilancia interna, algunas fotografías y todos los documentos de Microsoft Office.

Ocho años de evidencia perdidas

Los datos perdidos se remontan a 2009. Los datos de ese período respaldados en DVD y CD se mantuvieron intactos. Mientras que los datos archivados tienen su importancia, más preocupante es que el departamento perdió datos de investigaciones en curso.

"No se sabe cuántos videos o fotografías que podrían haber ayudado a nuevos casos no estarán disponibles, aunque el número de procesamientos afectados debería ser relativamente pequeño", dice el comunicado de prensa.

En una entrevista con WFAA, quien rompió la historia, Stephen Barlag, jefe de policía de Cockrell Hill, dijo que ninguno de los datos perdidos era crítico. El departamento también notificó a la oficina del fiscal del condado de Dallas del incidente.

Departamento de Policía probablemente infectado con Locky

El departamento dice que la infección fue descubierta el 12 de diciembre del año pasado, y los delincuentes pidieron una cuota de rescate de $ 4,000 para desbloquear los archivos.
Después de consultar con la unidad de crimen cibernético del FBI, el departamento decidió limpiar su servidor de datos y reinstalarlo todo. Los datos no se pudieron recuperar de las copias de seguridad, ya que el procedimiento de copia de seguridad se inició poco después de que el ransomware tomó raíz y copias de seguridad de los archivos cifrados.

Según el comunicado de prensa del departamento, el personal de TI de la policía de Cockrell Hill dijo que estaban infectados con el ransomware de OSIRIS.

No hay ransomware de OSIRIS. Es muy posible que el servidor del departamento estuviera infectado con el ransomware Locky, que unos días antes había salido con una nueva versión que añadía la extensión ".osiris" al final de los archivos cifrados.

Un correo electrónico no deseado con dirección falsificada fue la fuente de la infección

El comunicado de prensa dice que la infección tuvo lugar después de que un oficial abrió un mensaje de spam de una dirección de correo electrónico clonada (falsificada) imitando una dirección de correo electrónico del departamento.

La infección no se propagó a otras computadoras porque el servidor fue desconectado y desconectado de la red local tan pronto como el personal descubrió la demanda de rescate. El departamento también dijo que no había evidencia de exfiltración de datos a un servidor remoto.

A continuación se muestra una copia del comunicado de prensa del departamento:

Fuente:
https://www.bleepingcomputer.com/news/security/police-department-loses-years-worth-of-evidence-in-ransomware-incident/