UCSF falder offer for NetWalker Ransomware Attack - betaler over $ 1 mio. Løsepenge

University of California San Francisco i USA faldt offer for et cyberangreb den 01. juni. Institutionen blev målrettet af NetWalker ransomware og besluttede at efterkomme angribernes krav.

Lad os undersøge ransomware-truslen. Sikkerhedseksperter opdagede NetWalker ransomware i august 2019. Det holdt først navnet Mailto på grund af den måde, det krypterede filer (udvidelsen, den tilføjede, havde samme navn). Yderligere analyse af en af dens dekryptere indikerede, at det kaldes NetWalker.

Når infektionen har infiltreret systemet, starter den dens programmering - tag kontrol og krypterer alt.

Fig.1
Hvad sker der, efter at den ondsindede fil er blevet udført. Kilde: cynet.com

Det tilføjer specifikke udvidelser, der låser dine filer og gør dem ubrugelige. De fleste af de filer, du opbevarer på dit system, omdøbes, og deres udvidelser ændres til ' mailto [knoocknoo@cock.li]. [Genereret-filnavn] .'

Fig.2
Sådan ser dine filer ud, når NetWalker tilføjer dens udvidelser. Kilde: cynet.com

Efter afslutning af filernes kryptering efterlader det en løsepenge, der beskriver offerets prøvelse sammen med krav. Vi fandt to versioner af NetWalkers løsepenge. Du kan se dem begge nedenfor.

Fig.3
Ransom note version 1. Kilde: cynet.com

Fig.4
Ransom note version 2. Kilde: tripwire.com

Hackerne bag NetWalker-ransomware-angrebet har ikke sluttet sig til andre med våbenhvilen mod sundhedsinstitutioner. Mange andre hackere har sat deres syn på andre mål midt i Coronavirus-pandemien. Dem, der ligger bag NetWalker, har fortsat deres angreb uden meget tanke om, hvor de lander.

Angrebet på UCSF

Lidt baghistorie på UCSF. UCSF School of Medicine er en af de førende faciliteter inden for Coronavirus- forskning. Ifølge rapporter udfører de COVID-19 antistof test. IT-afdelingen for UCSF oplyser, at ransomware-angrebet på School of Medicine's servere ikke engang var det tilsigtede mål.

Hackerne kastede et bredt net af slags. De udløste deres malware og ventede på at se, hvor det ville lande. Skurkerne havde ingen klar idé om at målrette sig mod School of Medicine specifikt. Det skete bare så, at det var det mål, de fik.

For at lette bekymringerne satte USCF karantæne i School of Medicine's IT-systemer med angivelse af, at det er en forsigtighedsforanstaltning. Angiveligt er angrebet en isoleret hændelse, der ikke udgør nogen fare for det centrale UCSF-netværk.

"Vi satte karantæne i flere it-systemer inden for School of Medicine som en sikkerhedsforanstaltning, og vi isolerede med succes hændelsen fra det centrale UCSF-netværk."
Kilde: uscf.edu

En løbende undersøgelse

UCSFs IT-afdeling er endnu ikke færdig med sin efterforskning, så de har ikke fremsat nogen afgørende erklæringer. Men de rapporterede, at det var deres tro på, at serverangrebet var opportunistisk. Og erklærede, at hackerne præsenterede stjålne data som bevis for overtrædelsen. Det er rigtigt. For at stimulere universitetet til at betale, tilbød de de data, de formåede at tage fra serverne.

Ifølge angriberens erklæring lykkedes det dem at få fat i nogle følsomme oplysninger. Disse oplysninger omfattede mappelister med medarbejderinformation, medicinske undersøgelser og økonomi og studerendes applikationer med personnummer.

Universitetets erklæring (som de delte på webstedet uscf.edu ) uddyber, at det er deres faste overbevisning, at ingen medicinske poster blev stjålet. Patientbehandlingsoperationer, det samlede campusnetværk og COVID-19-relateret arbejde forblev også upåvirket af angrebet.

"Det er vigtigt, at denne hændelse ikke påvirkede vores operationer til patientpleje, det samlede campusnetværk eller COVID-19-arbejde."
"Vi fortsætter vores undersøgelse, men vi tror i øjeblikket ikke, at patientens medicinske poster blev udsat."
Kilde: uscf.edu

De deler, at en masse information formåede at forblive uberørt af angribere, men det betyder ikke, at de ikke fik fat i værdifulde data. De sagde, at skurkerne fik hånden på værdifuldt akademisk arbejde, der havde til formål at tjene den offentlige interesse.

Det er grunden til, at universitetet besluttede det bedst at bukke under for løsepengeefterspørgslen og betale op. Efter sigende gav de cyberkriminelle 1,14 millioner dollars som løsepenge. Det er dog vigtigt at bemærke, at det ifølge universitetets erklæring kun er en del af det beløb, de fik udpresset af skurkerne. Deres erklæring læste, at de '' tog den vanskelige beslutning om at betale en del af løsepenge, cirka 1,14 millioner dollars. « Det antyder, at de modige online kriminelle måske har bedt om en endnu stejlere sum.

Med disse 1,14 millioner dollars købte universitetet et værktøj, der kunne låse de krypterede data op. Det købte dem også returnering af data, som hackere tidligere har fået.

Universitetets skridt til at grotte og overholde vil utvivlsomt skabe krusninger i online-samfundet. Det vil sandsynligvis tilskynde skurke til at udforme flere cyberangreb og strejke andre uddannelsesinstitutioner . Det er et afgørende tidspunkt for organisationer i uddannelsessektoren at stramme deres online sikkerhed. Cyberangreb ophører ikke, men fortsætter. Gør dit bedste for at beskytte dine systemer mod koblinger af ondsindede cyberkriminelle.

I Kole
July 10, 2020
Ransomware
Dansk
July 10, 2020
Ransomware

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

4 days siden

Trojan Al11 Malware Detektion

11 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.