Маастрихтский университет (UM) выплатил хакерам от 200 000 до 300 000 евро, которые заблокировали систему программного обеспечения университета с целью шантажа. Совет университета был вынужден заплатить, потому что резервная копия также была захвачена. (на основании статьи из Volkskrant)
Резервная копия содержала данные исследований и данные студентов и сотрудников за последние десятилетия. Резервная копия находилась на университетских серверах и поэтому была доступна для хакеров. Это видно из разговоров с различными вовлеченными сторонами.
Сотрудники университета обнаружили 23 декабря прошлого года проблемы с почтовым сервером. Вскоре после этого сеть оказалась заложницей так называемого Clop-Ransomware.
Злоумышленники потребовали выкуп, чтобы освободить системы с данными расследования, финансовой информацией, почтовыми системами и интранетом. Университет наконец решил заплатить, потому что резервная копия со всеми историческими данными была зашифрована.
Маастрихтский университет не хочет комментировать эту статью с точки зрения содержания и ссылается на свой собственный симпозиум 5 февраля. Там, насколько это возможно, UM хочет предоставить информацию о расследовании атаки.
Тревожный звонок
Национальный координатор по борьбе с терроризмом и безопасностью Питер-Яап Альберсберг назвал успешную атаку на Маастрихтский университет «тревожным сигналом» для других университетов и колледжей.
«Если у вас хорошие резервные копии и системы разделены, и у вас есть обновления программного обеспечения, вы не будете подвержены этому», - сказал он в программе «Радио 1» в начале этого месяца.
По словам участников, несколько месяцев назад университет столкнулся с «инфекцией»: кто-то имел доступ к рабочему месту извне. Вероятно, заражение было вызвано спам-кампанией, в ходе которой преступники рассылали фишинговые письма в надежде, что кто-то нажмет на них. Позднее доступ был передан или продан группе вымогателей TA505. Они вошли в сеть вручную до декабря и мгновенно завладели системой.
Группы вымогателей пытаются получить как можно больший контроль над сетью, а также ищут резервную копию организации. Поэтому эксперты по безопасности рекомендуют хранить три версии данных как минимум в двух разных системах, где одна резервная копия не подключена к корпоративной сети.
Популярное оружие
Университет - отнюдь не единственная жертва групп вымогателей. В последние месяцы программное обеспечение для заложников оказалось любимым оружием преступников, и оно зарабатывает значительные суммы денег. Активны различные типы групп вымогателей, и они отличаются по стилю и методам.
«Из всех инцидентов, в которых требуется наша помощь, вымогатели по-прежнему составляют наибольшую долю», - говорит Мартин Хугестегер, руководитель группы в компании по кибербезопасности Northwave.
По его словам, эти преступные группировки действуют из разных регионов: Азии, Восточной Европы. Hoogesteger иногда видит, как программное обеспечение для заложников удаляется с компьютеров жертвы, если для клавиатуры установлена русская версия. «Но они не только русские».
Hoogesteger регулярно сталкивался с Sodinokibi (также известным как REvil): программное обеспечение для заложников, используемое различными группами.
«Слабый пароль часто является уязвимым местом. Например, с помощью рабочего стола, который позволяет удаленно управлять компьютером. Иногда там установлен пароль по умолчанию или Welcome01. "
Когда преступники находятся внутри, они заражают систему Sodinokibi. Пострадавших уведомляют о том, что они должны перейти на веб-сайт. Hoogesteger: «Есть сумма, которую требуют выплатить. Если вы не заплатите, сумма удвоится через определенное время ».
Миллионные убытки
По словам Аона, который консультирует компании по управлению рисками и страхованию, ущерб, нанесенный компаниям, может быстро увеличиться после цифровой атаки. По данным международного исследования, пострадавшие компании потеряли в среднем 5 миллионов евро.
Хакеры тщательно выбирают свои цели, например, в машиностроении или фармацевтике, потому что производственный процесс в этих компаниях дорогой. Например, фармацевтическая компания в Западном Брабанте бездействовала в течение трех недель после нападения с помощью программного обеспечения для заложников.
Хугестегер: «Машины в таких компаниях работали годами, но через некоторое время они были подключены к Интернету, и хакеры могут саботировать производственный процесс». В таких случаях преступники легко просят от сотен тысяч до нескольких миллионов евро. «Фармацевтическая компания не может позволить себе долго простаивать без дела».
Плохой пример
После того, как в начале этого месяца журнал университета Маастрихта «Обсервант» написал, что университет заплатил выкуп злоумышленникам, критики утверждали, что таким образом университет поддерживает модель заработков преступников. "Если все жертвы Sodinokibi Ransomware заплатили запрошенный выкуп в январе, группы, стоящие за ним, теперь получили более 10 миллионов евро", - говорят эксперты.
Hoogesteger находит обсуждение о выплате выкупа "этически сложным". «Мы всегда ищем решения, как обойтись без выкупа. Отправной точкой является: "А если нет?"."Но это не всегда возможно. Особенно если, как и в случае с Университетом Маастрихта, резервная копия также находится в руках преступников.
Hoogesteger: «Если это действительно не может быть иначе, целесообразной будет помощь профессионалов. Преступники также договариваются о цене ".
Биткойны
Northwave недавно были вовлечены в дело о вымогательстве в швейцарской компании. Хакеры попросили 42 биткойна, которые тогда составили 350 тысяч евро.
Хугестегер: «Мы сказали им, что зашифрованные данные стоят меньше. В итоге мы получили 20 биткойнов».
После оплаты преступники часто оказываются полезными в решении проблемы.
Хугестегер: «Довольно странно: им нравится рассказывать вам, как они вошли и как доступ может быть закрыт. Я думаю от гордости, но, возможно, также от вины. Они только что получили много денег ».
Помимо программного обеспечения для заложников, Hoogesteger видит новую тенденцию: хакеры, получившие доступ к системе, грозят опубликовать конфиденциальные электронные письма и документы, если они не получат свои деньги быстро.