Biblioteka Brytyjska, która została dotknięta atakiem oprogramowania ransomware, w wyniku którego na ponad trzy tygodnie wyłączyła jej systemy komputerowe, stronę internetową, sieć telefoniczną i publiczną sieć Wi-Fi, potwierdziła wczoraj, że po ataku wyciekły wewnętrzne dokumenty HR.
Do ataku przyznała się grupa ransomware Rhysida, w wyniku której czytelnicy szukający dostępu do książek i rękopisów musieli składać zamówienia z ręcznych katalogów znajdujących się w budynku biblioteki King’s Cross w ramach, jak to określa, „bardzo ograniczonej usługi”.
W poniedziałek 20 listopada grupa hakerska uruchomiła na swojej stronie internetowej siedmiodniową aukcję, oferując dane, które rzekomo ukradła z Biblioteki Brytyjskiej.
„Mając zaledwie 7 dni, wykorzystaj okazję do licytowania ekskluzywnych, unikalnych i imponujących danych. Otwórz portfele i przygotuj się na zakup ekskluzywnych danych. Sprzedajemy tylko do jednej ręki, bez odsprzedaży, będziesz jedynym właścicielem” – napisano.
Rhysida podała cenę 20 bitcoinów (około 600 000 funtów) w witrynie w ciemnej sieci w celu zakupu danych, ale i tak może opublikować dane, jeśli nie będzie chętnych.
Biblioteka nie skomentowała publicznie twierdzeń Rhysidy, ale stwierdziła w: aktualizacja na Xwcześniej znanej jako Twitter, że prawdopodobnie doszło do wycieku niektórych danych HR z jej wewnętrznych plików HR.
Obraz w niskiej rozdzielczości na stronie internetowej Rhysidy wydaje się przedstawiać paszporty i dokumenty związane z zatrudnieniem.
„Nie mamy dowodów na to, że dane naszych użytkowników zostały naruszone” – podała biblioteka w aktualizacji. „Jeśli jednak posiadasz login do Biblioteki Brytyjskiej, a Twoje hasło jest używane gdzie indziej, zalecamy jego zmianę jako środek zapobiegawczy.”
Biblioteka doświadczyła znacznych zakłóceń w swoich placówkach w St Pancreas w Londynie i jej aneksie w Boston Spa w Yorkshire, odkąd poinformowała, że „problem techniczny” miał wpływ na jej systemy informatyczne 28 października. 14 listopada potwierdzono, że tak dotknięty atakiem ransomware.
Biblioteka została pozbawiona działającej usługi telefonicznej i strony internetowej, przyjmuje płatności wyłącznie gotówką. W aktualizacjach potwierdziła, że współpracuje z policją stołeczną i Narodowym Centrum Bezpieczeństwa Cybernetycznego (NCSC) w celu przeprowadzenia dochodzenia kryminalistycznego.
Wysoka cena żądana za dane British Library
Victoria Kivilevich, dyrektor ds. badań nad zagrożeniami w firmie ochroniarskiej KELA, stwierdziła, że cena żądana przez Rhysidę za dane z Biblioteki Brytyjskiej była stosunkowo wysoka, ale nie najwyższa i wyniosła 50 bitcoinów za dane skradzione z Prospect Medical Holdings w sierpniu 2023 r.
„Grupie Rhysida nie zawsze udaje się sprzedać dane, które próbuje wystawić na aukcji, co widać na jej stronie internetowej. Na przykład niedawno próbowali sprzedać dane skradzione z Azienda Ospedaliera Universitaria Integrata di Verona za 10 bitcoinów, ale są one teraz publicznie dostępne na ich stronie internetowej, co wskazuje, że nie było nabywców” – powiedziała.
W notatce doradczej FBI i amerykańskiej Agencji ds. Cyberbezpieczeństwa i Struktury Informacji (CISA) z zeszłego tygodnia stwierdzono, że złośliwe oprogramowanie, zidentyfikowane po raz pierwszy w maju 2023 r., jest oferowane jako oprogramowanie ransomware jako usługa dla grup przestępczych, które następnie dzielą się zyskami z właścicielami oprogramowania ransomware.
Hakerzy uzyskują dostęp poprzez VPN
Przestępcy zazwyczaj uzyskują dostęp do zainfekowanych systemów komputerowych, wykorzystując znane luki, takie jak ZeroLogon.
Atakujący złamali także dane uwierzytelniające umożliwiające dostęp do wirtualnych sieci prywatnych (VPN), szczególnie tam, gdzie organizacje nie włączyły domyślnie uwierzytelniania dwuskładnikowego.
Grupy korzystające z tego szkodliwego oprogramowania dokonują „podwójnego wymuszenia”, żądając zapłaty okupu za odszyfrowanie danych ofiar i grożąc opublikowaniem danych, jeśli okup nie zostanie zapłacony.
Ofiary otrzymują notatkę o okupie w formacie PDF, która zapewnia każdej zaatakowanej firmie unikalny kod referencyjny i instrukcje dotyczące skontaktowania się z grupą w ciemnej sieci.
Jim Walter, starszy badacz zagrożeń w SentinelLabs, powiedział Computer Weekly: „Niektóre z ich wczesnych i godnych uwagi ataków obejmowały armię chilijską. Uderzyli także w cele rządowe w Kuwejcie i Republice Dominikany.
„Oprócz podmiotów rządowych Rhysida obiera za cel organizacje z sektora edukacyjnego i akademickiego, zatem w zasięgu grupy leży atak na Bibliotekę Brytyjską” – dodał.
Marcelo Rivero, starszy inżynier ds. badania złośliwego oprogramowania w Malwarebytes, powiedział, że Rhysida zazwyczaj wykorzystuje techniki „życia z ziemi”, aby wykorzystać narzędzia do administrowania siecią wbudowane w system operacyjny Windows. Dzięki temu atakujący mogą uniknąć wykrycia, wtapiając się w normalne działania sieciowe.
