Η Δημόσια
Βιβλιοθήκη
του
Τορόντο
αντιμετωπίζει συνεχείς τεχνικές διακοπές λόγω επίθεσης ransomware Black Basta.
Η Δημόσια Βιβλιοθήκη του Τορόντο (TPL) είναι το μεγαλύτερο σύστημα δημόσιων βιβλιοθηκών του Καναδά, παρέχοντας πρόσβαση σε 12 εκατομμύρια βιβλία μέσω 100 βιβλιοθηκών παραρτημάτων σε όλη την πόλη. Το σύστημα της βιβλιοθήκης έχει 1.200.000 εγγεγραμμένα μέλη και λειτουργεί με προϋπολογισμό που ξεπερνά τα 200 εκατομμύρια δολάρια.
Νωρίτερα αυτή την εβδομάδα, η TPL προειδοποίησε ότι μια κυβερνοεπίθεση προκαλεί τεχνικές διακοπές στους ιστότοπούς της και σε ορισμένες διαδικτυακές υπηρεσίες.
Αυτές οι διακοπές περιλαμβάνουν την αποσύνδεση του ιστότοπου tpl.ca, την αδυναμία πρόσβασης στον διαδικτυακό λογαριασμό σας και διακοπές στα πάσο tpl:map και τις υπηρεσίες ψηφιακών συλλογών.
Η βιβλιοθήκη προειδοποίησε ότι οι δημόσιοι υπολογιστές και οι υπηρεσίες εκτύπωσης δεν είναι επίσης διαθέσιμες.
Η Δημόσια Βιβλιοθήκη του Τορόντο λέει ότι δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα προσωπικά στοιχεία του προσωπικού ή των πελατών έχουν παραβιαστεί και ότι ερευνούν ενεργά το περιστατικό με εμπειρογνώμονες επιβολής του νόμου και τρίτων εμπειρογνωμόνων στον τομέα της κυβερνοασφάλειας.
«Η TPL έχει προετοιμαστεί προληπτικά για θέματα κυβερνοασφάλειας και έχει ξεκινήσει άμεσα μέτρα για τον μετριασμό των πιθανών επιπτώσεων», αναφέρεται σε ανακοίνωση σχετικά με
προσωρινή ιστοσελίδα της βιβλιοθήκης
φιλοξενείται στο Typepad.
“Έχουμε συνεργαστεί με τρίτους εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας για να μας βοηθήσουν στην επίλυση αυτής της κατάστασης. Ωστόσο, προβλέπουμε ότι μπορεί να χρειαστούν αρκετές ημέρες έως ότου όλα τα συστήματα αποκατασταθούν πλήρως στην κανονική λειτουργία.”
Έχετε πληροφορίες σχετικά με αυτήν ή άλλη επίθεση ransomware; Εάν θέλετε να μοιραστείτε τις πληροφορίες, μπορείτε να επικοινωνήσετε μαζί μας με ασφάλεια και εμπιστευτικότητα στο
Signal
στο +1 (646) 961-3731, μέσω email στη διεύθυνση
ή χρησιμοποιώντας τη φόρμα συμβουλών.
Το Black Basta ransomware πίσω από την επίθεση στο TPL
Η BleepingComputer έμαθε από τότε ότι η λειτουργία ransomware Black Basta βρίσκεται πίσω από την επίθεση στη Δημόσια Βιβλιοθήκη του Τορόντο.
Μια φωτογραφία του σημειώματος λύτρων που κοινοποιήθηκε στο BleepingComputer μας επέτρεψε να επιβεβαιώσουμε ότι η επιχείρηση λύτρων βρισκόταν πίσω από την επίθεση.
Σημείωση λύτρων Black Basta ransomware που δημιουργήθηκε σε σταθμούς εργασίας TPL
Πηγή: BleepingComputer
Σύμφωνα με έναν υπάλληλο της TPL, η επίθεση σημειώθηκε τη νύχτα της 27ης Οκτωβρίου, επηρεάζοντας πολλές υπηρεσίες το πρωί του Σαββάτου.
Το BleepingComputer ενημερώθηκε ότι η επίθεση δεν επηρέασε τα τηλέφωνα και είχε περιορισμένο αντίκτυπο στο ηλεκτρονικό ταχυδρομείο, ενώ όσοι ήταν συνδεδεμένοι στους λογαριασμούς τους στο Office 365 εξακολουθούσαν να έχουν πρόσβαση σε αυτά. Ωστόσο, οι υπάλληλοι που δεν ήταν συνδεδεμένοι αυτήν τη στιγμή στο email δεν μπορούσαν πλέον να έχουν πρόσβαση στο σύστημα.
Όλα τα άλλα εσωτερικά συστήματα τερματίστηκαν μετά την επίθεση ως προληπτικό μέτρο για να αποτραπεί η εξάπλωση του κακόβουλου λογισμικού.
Μας είπαν ότι οι κύριοι διακομιστές του οργανισμού που περιέχουν ευαίσθητα δεδομένα δεν ήταν κρυπτογραφημένοι, πράγμα που ενδεχομένως σημαίνει ότι οι παράγοντες της απειλής δεν είχαν πλήρη πρόσβαση στα δίκτυα και τα δεδομένα του οργανισμού.
Ενώ είναι άγνωστο τώρα εάν η συμμορία ransomware έκλεψε δεδομένα κατά τη διάρκεια της επίθεσης, η κλοπή δεδομένων αποτελεί σημαντικό συστατικό της στρατηγικής τους για εκβιασμό.
Θα μάθουμε εάν τα δεδομένα έχουν κλαπεί εάν οι παράγοντες της απειλής θα τα χρησιμοποιήσουν ως μοχλό για να πιέσουν την TPL να πληρώσει λύτρα.
Ποιος είναι ο Black Basta;
Η συμμορία ransomware Black Basta ξεκίνησε τη λειτουργία της ransomware τον Απρίλιο του 2022 και γρήγορα άρχισε να στοχεύει εταιρικά θύματα σε επιθέσεις διπλού εκβιασμού.
Μία από τις πρώτες επιθέσεις ήταν εναντίον της Αμερικανικής Οδοντιατρικής Ένωσης, κατά την οποία οι ηθοποιοί της απειλής διέρρευσαν κλεμμένα δεδομένα.
Μέχρι τον Ιούνιο του 2022, η Black Basta είχε συνεργαστεί με την επιχείρηση κακόβουλου λογισμικού QBot για την απόθεση φάρους Cobalt Strike σε μολυσμένες συσκευές για αρχική πρόσβαση σε εταιρικά δίκτυα.
Μόλις αποκτούσαν πρόσβαση σε ένα δίκτυο, έκλεβαν τα διαπιστευτήρια και εξαπλώθηκαν πλευρικά σε ένα δίκτυο ενώ έκλεβαν δεδομένα.
Αφού κλαπούν όλα τα δεδομένα και οι χάκερ αποκτήσουν πρόσβαση στον ελεγκτή τομέα των
Windows
, οι φορείς απειλών αναπτύσσουν έναν κρυπτογραφητή σε όλο το δίκτυο για την κρυπτογράφηση συσκευών.
Ροή επίθεσης Black Basta
Πηγή:
Palo Alto Networks Unit 42
Όπως όλες σχεδόν οι λειτουργίες ransomware, το Black Basta χρησιμοποιεί έναν κρυπτογράφηση Linux για να στοχεύσει εικονικές μηχανές VMware ESXi που εκτελούνται σε διακομιστές Linux.
Τον Ιούνιο του 2022, η λειτουργία Conti ransomware τερματίστηκε μετά από μια σειρά από ενοχλητικές παραβιάσεις δεδομένων. Οι ερευνητές πιστεύουν ότι το συνδικάτο για το έγκλημα στον κυβερνοχώρο χωρίστηκε σε μικρότερες ομάδες, με μία από αυτές να πιστεύεται ότι ήταν ο Black Basta.
Ωστόσο, άλλοι ερευνητές πιστεύουν ότι υπάρχει σύνδεση μεταξύ του Black Basta και της επιχείρησης εγκλήματος στον κυβερνοχώρο Fin7, μιας συμμορίας κυβερνοεγκλήματος με οικονομικά κίνητρα, γνωστή και ως Carbanak.
Από την έναρξή του, οι παράγοντες της απειλής είναι υπεύθυνοι για μια σειρά επιθέσεων, συμπεριλαμβανομένων των Capita, Sobeys, Knauf και Yellow Pages
Canada
.
Πρόσφατα, η επιχείρηση ransomware επιτέθηκε στην ABB, μια ελβετική πολυεθνική εταιρεία τεχνολογίας και ανάδοχο της κυβέρνησης των ΗΠΑ, και διέρρευσε τα κλεμμένα δεδομένα της εταιρείας.
VIA:
bleepingcomputer.com