Η Δημόσια Βιβλιοθήκη του Τορόντο επιβεβαιώνει τα δεδομένα που έχουν κλαπεί σε επίθεση ransomware

By

Marizas Dimitris

On

Νοέ 15, 2023

Η Δημόσια

Βιβλιοθήκη

του Τορόντο (TPL) επιβεβαίωσε ότι τα προσωπικά στοιχεία εργαζομένων, πελατών, εθελοντών και δωρητών κλάπηκαν από έναν παραβιασμένο διακομιστή αρχείων κατά τη διάρκεια μιας επίθεσης ransomware τον Οκτώβριο.

Σύμφωνα με την TPL, οι επιτιθέμενοι έκλεψαν «ένα μεγάλο αριθμό αρχείων από έναν διακομιστή αρχείων» που περιείχαν δεδομένα υπαλλήλων της Δημόσιας Βιβλιοθήκης του Τορόντο (TPL) και του Ιδρύματος Δημόσιας Βιβλιοθήκης του Τορόντο (TPLF), που χρονολογούνται από το 1998.

“Πιθανότατα λήφθηκαν πληροφορίες σχετικά με αυτά τα άτομα, όπως το όνομά τους, ο αριθμός κοινωνικής ασφάλισης, η ημερομηνία γέννησης και η διεύθυνση κατοικίας. Αντίγραφα των εγγράφων ταυτότητας που εκδόθηκαν από την κυβέρνηση που δόθηκαν στην TPL από το προσωπικό πιθανότατα ελήφθησαν”, ανέφερε η βιβλιοθήκη σε μια ενημέρωση την αναφορά του περιστατικού.

“Οι βάσεις δεδομένων των κατόχων της κάρτας και των δωρητών μας δεν επηρεάζονται. Ωστόσο, ορισμένα δεδομένα πελατών, εθελοντών και δωρητών που βρίσκονταν στον παραβιασμένο διακομιστή αρχείων ενδέχεται να έχουν εκτεθεί.”

Η βιβλιοθήκη δεν έχει ακόμη αποκαλύψει ποια δεδομένα πελατών κλάπηκαν και πόσοι πελάτες επηρεάστηκαν από την παραβίαση δεδομένων.

Η TPL λέει ότι δεν έχει πληρώσει λύτρα μετά την επίθεση και ότι συνεργάζεται με εξωτερικούς εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας για να διερευνήσει το περιστατικό. Ανέφερε επίσης την παραβίαση στον Επίτροπο Πληροφοριών και Απορρήτου του Οντάριο και υπέβαλε αναφορά στην αστυνομία του Τορόντο.

Ως το μεγαλύτερο σύστημα δημόσιων βιβλιοθηκών του Καναδά, το TPL λειτουργεί με προϋπολογισμό που ξεπερνά τα 200 εκατομμύρια δολάρια, έχει βάση μελών 1.200.000 εγγεγραμμένων ατόμων και παρέχει πρόσβαση σε 12 εκατομμύρια βιβλία σε 100 βιβλιοθήκες παραρτημάτων σε όλη την πόλη.

Επίθεση ransomware Black Basta

Ενώ η βιβλιοθήκη δεν έχει αποδώσει ακόμη την επίθεση σε συγκεκριμένη λειτουργία ransomware, η BleepingComputer έμαθε ότι η συμμορία ransomware Black Basta βρισκόταν πίσω από την επίθεση της 28ης Οκτωβρίου αφού είδε μια φωτογραφία ενός σημειώματος λύτρων που εμφανίζεται σε έναν σταθμό εργασίας TPL.

Όπως είπε ένας υπάλληλος της TPL στο BleepingComputer, η επίθεση σημειώθηκε τη νύχτα της 27ης Οκτωβρίου, διακόπτοντας πολλές υπηρεσίες μέχρι το πρωί του Σαββάτου.

Μας είπαν επίσης ότι η επίθεση είχε ελάχιστο αντίκτυπο στις υπηρεσίες email της TPL και δεν επηρέασε το τηλεφωνικό σύστημα της βιβλιοθήκης. Ενώ οι υπάλληλοι που είχαν συνδεθεί στους λογαριασμούς τους στο Office 365 μπορούσαν να έχουν πρόσβαση στα email τους, όσοι είχαν αποσυνδεθεί δεν μπορούσαν να έχουν πρόσβαση στους λογαριασμούς email τους.

Οι κύριοι διακομιστές του οργανισμού (στέγαση ευαίσθητων δεδομένων) δεν ήταν επίσης κρυπτογραφημένοι, υπονοώντας την πιθανότητα ότι οι χειριστές Black Basta δεν είχαν πλήρη πρόσβαση στα δίκτυα και τα δεδομένα της βιβλιοθήκης.

Ως προληπτικό μέτρο για την πρόληψη της εξάπλωσης του κακόβουλου λογισμικού, η TPL έκλεισε όλα τα άλλα εσωτερικά συστήματα μετά τον εντοπισμό της επίθεσης.

Η Δημόσια Βιβλιοθήκη του Τορόντο επιβεβαιώνει τα δεδομένα που έχουν κλαπεί σε επίθεση ransomware, Η Δημόσια Βιβλιοθήκη του Τορόντο επιβεβαιώνει τα δεδομένα που έχουν κλαπεί σε επίθεση ransomware, TechWar.gr — *Σημείωμα λύτρων Black Basta από τον σταθμό εργασίας TPL (BleepingComputer)*

Το Black Basta εμφανίστηκε ως λειτουργία Ransomware-as-a-

Service

(RaaS) τον Απρίλιο του 2022, με επιθέσεις διπλού εκβιασμού που στοχεύουν πολλές εταιρικές οντότητες.

Αφού η συμμορία ransomware Conti σταμάτησε να λειτουργεί τον Ιούνιο του 2022 μετά από μια σειρά ταπεινωτικών παραβιάσεων δεδομένων, το συνδικάτο του εγκλήματος στον κυβερνοχώρο κατακερματίστηκε σε μικρότερες φατρίες, μία από τις οποίες εικάζεται ότι ήταν ο Black Basta.

“Η παραγωγική στόχευση της ομάδας απειλών σε τουλάχιστον 20 θύματα τις πρώτες δύο εβδομάδες λειτουργίας της δείχνει ότι έχει εμπειρία σε ransomware και έχει μια σταθερή πηγή αρχικής πρόσβασης”, η ομάδα ασφαλείας του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών

είπε

τον Μάρτιο.

«Το επίπεδο πολυπλοκότητας των ικανών χειριστών ransomware και η απροθυμία να στρατολογήσουν ή να διαφημιστούν στα φόρουμ του

Dark Web

, υποστηρίζουν γιατί πολλοί υποψιάζονται ότι ο εκκολαπτόμενος Black Basta μπορεί ακόμη και να είναι μια νέα επωνυμία της ρωσόφωνης ομάδας απειλής RaaS Conti ή επίσης συνδεδεμένος με άλλα Ρωσόφωνες ομάδες απειλών στον κυβερνοχώρο».

Επιπλέον, ο Black Basta έχει συνδεθεί με την ομάδα hacking FIN7, μια γνωστή ομάδα εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα.

Από τότε που εμφανίστηκε, η ρωσόφωνη συμμορία ransomware έχει παραβιάσει και εκβιάσει ένα ευρύ φάσμα θυμάτων υψηλού προφίλ, συμπεριλαμβανομένης της American Dental Association, της Sobeys, της Knauf, της Yellow Pages

Canada

, της βρετανικής εταιρείας outsourcing

κεφαλή

ο γερμανικός εργολάβος άμυνας της Rheinmetall και πιο πρόσφατα, η αμερικανική κρατική ανάδοχος ABB.