В работе Публичной библиотеки Торонто продолжаются технические перебои, вызванные атакой вымогательского ПО Black Basta.
Публичная библиотека Торонто (TPL) - крупнейшая в Канаде система публичных библиотек, предоставляющая доступ к 12 млн. книг через 100 библиотек-филиалов по всему городу. В библиотечной системе зарегистрировано 1 200 000 пользователей, а ее бюджет превышает 200 млн. долл.
Ранее на этой неделе TPL предупредила, что кибератака вызывает технические сбои в работе ее сайтов и некоторых онлайн-сервисов.
К таким сбоям относятся отключение сайта tpl.ca, невозможность получить доступ к своей учетной записи, перебои в работе абонементов tpl:map и сервисов цифровых коллекций.
Библиотека предупредила, что также недоступны публичные компьютеры и услуги печати.
Публичная библиотека Торонто заявляет, что нет никаких доказательств того, что персональные данные сотрудников или клиентов были скомпрометированы, и что она активно расследует инцидент совместно с правоохранительными органами и сторонними экспертами по кибербезопасности.
"TPL заблаговременно подготовилась к проблемам кибербезопасности и оперативно приняла меры по смягчению возможных последствий", - говорится в сообщении на временном сайте библиотеки, размещенном на сайте Typepad.
"Мы привлекли сторонних экспертов по кибербезопасности, которые помогут нам разрешить эту ситуацию. Однако мы предполагаем, что до полного восстановления нормальной работы всех систем может пройти несколько дней".
Есть ли у вас информация об этой или другой атаке вымогателей? Если вы хотите поделиться информацией, вы можете конфиденциально и безопасно связаться с нами по телефону +1 (646) 961-3731 или через форму обратной связи.
За атакой на TPL стоит программа Black Basta ransomware
Как стало известно Герман Геншин, за атакой на Публичную библиотеку Торонто стоит программа-вымогатель Black Basta.
Фотография записки с выкупом, которой поделился Герман Геншин, позволила нам подтвердить, что за атакой стоит именно эта программа-вымогатель.
По словам одного из сотрудников TPL, атака произошла ночью 27 октября и затронула множество сервисов в субботу утром.
В компании "Герман Геншин" сообщили, что атака не затронула телефоны и оказала ограниченное влияние на электронную почту: те, кто вошел в свои учетные записи Office 365, по-прежнему могли получить к ним доступ. Однако сотрудники, не вошедшие в данный момент в систему электронной почты, не смогли получить доступ к ней.
Все остальные внутренние системы были отключены после атаки в качестве меры предосторожности для предотвращения распространения вредоносного ПО.
Как нам сообщили, основные серверы организации, содержащие конфиденциальные данные, не были зашифрованы, что, возможно, означает, что у злоумышленников не было полного доступа к сетям и данным организации.
В настоящее время неизвестно, были ли похищены данные в ходе атаки, однако кража данных является важным компонентом стратегии вымогателей.
Мы узнаем, были ли похищены данные, и будут ли угрожающие лица использовать их в качестве рычага давления на компанию TPL, чтобы заставить ее заплатить выкуп.
Кто такая Black Basta?
Банда Black Basta начала свою деятельность в апреле 2022 г. и быстро стала нацеливаться на корпоративных жертв, совершая двойные атаки-вымогательства.
Одной из первых атак была атака на Американскую стоматологическую ассоциацию, в ходе которой злоумышленники допустили утечку похищенных данных.
К июню 2022 года Black Basta в партнерстве с вредоносной программой QBot стала устанавливать на зараженные устройства маячки Cobalt Strike для получения первоначального доступа к корпоративным сетям.
Получив доступ к сети, злоумышленники похищали учетные данные и распространялись по всей сети, похищая при этом данные.
После того как все данные похищены и хакеры получили доступ к контроллеру домена Windows, угрожающие лица развертывают в сети шифратор для шифрования устройств.
Как и почти все программы-вымогатели, Black Basta использует Linux-шифратор для защиты виртуальных машин VMware ESXi, работающих на Linux-серверах.
В июне 2022 года компания Conti прекратила свою деятельность после серии неудачных утечек данных. Исследователи полагают, что киберпреступный синдикат распался на более мелкие группы, одной из которых считается Black Basta.
Однако другие исследователи считают, что существует связь между Black Basta и киберпреступной группировкой Fin7, известной также под названием Carbanak.
С момента своего появления эта группа совершила целый ряд атак, в том числе на компании Capita, Sobeys, Knauf и Yellow Pages Canada.
Недавно эта группировка атаковала компанию ABB, швейцарскую технологическую корпорацию и американского государственного подрядчика, в результате чего произошла утечка похищенных данных.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
