UCSF patenka į „NetWalker Ransomware Attack“ auką - moka daugiau nei 1 mln

Kalifornijos San Francisko universitetas JAV tapo kibernetinio išpuolio auka birželio 01 d. Įstaiga pateko į „NetWalker“ išpirkos programų programą ir nusprendė įvykdyti užpuolikų reikalavimus.

Pažvelkime į išpirkos programų grėsmę. Saugumo ekspertai atrado „NetWalker“ išpirkos programinę įrangą 2019 m. Rugpjūtį. Pirmiausia ji turėjo „Mailto“ vardą dėl to, kaip ji užšifravo failus (jo pridėtas plėtinys buvo to paties pavadinimo). Tolesnė vieno iš jo iššifratorių analizė parodė, kad jis vadinamas „NetWalker“.

Po to, kai infekcija įsiskverbia į sistemą, ji pradeda savo programavimą - viską kontroliuoja ir užšifruoja.

1 pav
Kas nutinka įvykdžius kenksmingą failą. Šaltinis: cynet.com

Tai prideda konkrečių plėtinių, kurie užrakina jūsų failus ir daro juos nenaudotinais. Daugelis failų, kuriuos laikote savo sistemoje, pervardijami, o jų plėtiniai keičiami į „ mailto [knoocknoo@cock.li]. [Sugeneruotas failo vardas] “.

2 pav
Kaip atrodo jūsų failai po to, kai „NetWalker“ prideda plėtinius. Šaltinis: cynet.com

Užbaigus failų šifravimą, kartu su reikalavimais paliekamas išpirkos raštas, kuriame išsamiai aprašomas aukos išbandymas. Mes radome dvi „NetWalker“ išpirkos rašto versijas. Juos abu galite pamatyti žemiau.

3 pav
„Ransom note“ versija 1. Šaltinis: cynet.com

4 pav
„Ransom note“ 2 versija. Šaltinis: tripwire.com

„NetWalker“ išpirkos programos užpuolikai neprisijungė prie kitų paliaubų prieš sveikatos priežiūros įstaigas. Koronaviruso pandemijos metu daugelis kitų įsilaužėlių nustatė savo taikinius kitiems taikiniams. Tie, kurie yra už „NetWalker“, tęsė savo išpuolius, negalvodami apie tai, kur jie nutūps.

UCSF ataka

Truputis UCSF istorijos. UCSF medicinos mokykla yra viena iš pirmaujančių koronaviruso tyrimų vietų. Remiantis pranešimais, jie tiria COVID-19 antikūnus. UCSF IT departamentas teigia, kad išpirkos programos išpuolis prieš Medicinos mokyklos serverius net nebuvo numatytas tikslas.

Piratai išmetė platų tinklą. Jie atidarė savo kenkėjišką programinę įrangą ir laukė, kur pamatys. Sukčiai neturėjo aiškios idėjos skirti būtent medicinos mokyklai. Tiesiog taip atsitiko, kad jie buvo taikinys.

Siekdamas palengvinti susirūpinimą, USCF nustatė medicinos mokyklos IT sistemų karantiną, nurodydamas, kad tai yra atsargumo priemonė. Spėjama, kad išpuolis yra atskiras įvykis, nekeliantis pavojaus pagrindiniam UCSF tinklui.

„Mes kaip medicinos priemonę karantine paskyrėme kelias IT sistemas Medicinos mokykloje ir sėkmingai izoliavome įvykį nuo pagrindinio UCSF tinklo“.
Šaltinis: uscf.edu

Vykdomas tyrimas

UCSF IT departamentas dar nebaigė tyrimo, todėl jie nepadarė įtikinamų pareiškimų. Tačiau jie pranešė, kad yra įsitikinę, jog serverio ataka buvo oportunistinė. Ir pareiškė, kad įsilaužėliai pateikė pavogtus duomenis kaip pažeidimo įrodymą. Teisingai. Siekdami paskatinti universitetą mokėti, jie pasiūlė duomenis, kuriuos jiems pavyko paimti iš serverių.

Remiantis užpuolikų pareiškimu, jiems pavyko sugauti slaptos informacijos. Ta informacija apėmė katalogų sąrašus su informacija apie darbuotojus, medicinos studijas ir finansus bei studentų paraiškas su socialinio draudimo numeriais.

Universiteto pareiškime (kuriuo jie pasidalino uscf.edu svetainėje) paaiškinama, kad, jų tvirtu įsitikinimu, jokie medicininiai įrašai nebuvo pavogti. Išpuolis taip pat nepaliko pacientų priežiūros operacijų, bendro universiteto miestelio tinklo ir su COVID-19 susijusių darbų.

"Svarbu tai, kad šis įvykis nepaveikė mūsų pacientų priežiūros operacijų, viso universiteto miestelio tinklo ar COVID-19 darbo."
"Mes tęsiame savo tyrimą, tačiau šiuo metu mes netikime, kad buvo paviešinti paciento medicinos įrašai."
Šaltinis: uscf.edu

Jie dalijasi, kad užpuolikams nepavyko palikti daug informacijos, tačiau tai nereiškia, kad jie negavo vertingų duomenų. Jie teigė, kad sukčiai susitvarkė su vertingu akademiniu darbu, kurio tikslas - tarnauti visuomenės interesams.

Būtent todėl universitetas nusprendė, kad geriausia atsisakyti išpirkos reikalavimo ir susimokėti. Pranešama, kad jie kibernetiniams nusikaltėliams davė 1,14 mln. USD išpirkos. Vis dėlto svarbu pažymėti, kad, remiantis universiteto pareiškimu, tai tik dalis sumos, kurią jie išgavo sukčiai. Jų pareiškime rašoma, kad jie „priėmė sunkų sprendimą sumokėti dalį išpirkos, maždaug 1,14 mln .

Turėdamas tuos 1,14 mln. USD universitetas nusipirko įrankį, galintį atrakinti užšifruotus duomenis. Jie taip pat įsigijo jiems grąžintus duomenis, kuriuos anksčiau įgijo įsilaužėliai.

Universiteto žingsnis į olą ir jo laikymasis neabejotinai sukels netikėtumų internetinėje bendruomenėje. Tai greičiausiai paskatins sukčius rengti daugiau kibernetinių atakų ir smogti kitoms švietimo įstaigoms . Tai labai svarbus laikas švietimo sektoriaus organizacijoms sugriežtinti saugumą internete. Kibernetinės atakos nenutrūks, bet tęsis. Darykite viską, kad apsaugotumėte savo sistemas nuo kenksmingų elektroninių nusikaltėlių gniaužtų.

July 10, 2020

Palikti atsakymą