Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Kanadyjczycy zapłacili złodziejom za odzyskanie danych 15 milionów osób

Recommended Posts

Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.

Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.

Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.

Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Nie rozumiem. Jaka pewność że osoby, które dokonały ataku nie wykorzystają ich za tydzień, albo nie sprzedadzą komuś innemu? Przyrzekli że je usunęli, czy co?

 

Share this post


Link to post
Share on other sites
26 minut temu, gooostaw napisał:

Nie rozumiem. Jaka pewność że osoby, które dokonały ataku nie wykorzystają ich za tydzień, albo nie sprzedadzą komuś innemu? Przyrzekli że je usunęli, czy co?

 

Na początku tekstu jest mowa o "zwrocie" i "odzyskaniu" danych, więc o ile to nie jest niefortunny dobór słów to wynikałoby z tego, że hakerzy użyli opcji "wytnij" a nie "kopiuj" :P 

Share this post


Link to post
Share on other sites
46 minut temu, Warai Otoko napisał:

hakerzy użyli opcji "wytnij" a nie "kopiuj"

To taka wiara w "uczciwość" złodziei.

No ale skoro firma straciła te dane i musiała je odzyskać, to znaczy, że złodzieje znają opcję "wytnij", bo już jej raz użyli. Cała nadziej w tym, że może opcji "kopiuj" jeszcze nie znają :D

Share this post


Link to post
Share on other sites

Hakowanie odbywa się najczęściej przez command line, wiec się stosunkowo mało klika ;)

Najprawdopodobniej wyprowadzili dane z systemów firmy, po czym je usunęli wraz z backupami. Dlatego firma była zmuszona zapłacić okup, aby odzyskać dane. Nie maja żadnej gwarancji, jak to zwykle bywa w kontaktach z przestępcami, ale wygląda, że nie mieli też wyboru. W artykule nie ma nic o ransomware, ale nie chce mi się sprawdzać w oryginale. Można założyć, ze obeszło się bez szyfrowania. To znaczy, na pewno skompresowali i zaszyfrowali dane na swój użytek przed wyprowadzeniem, żeby zmniejszyć ryzyko wykrycia.

Czytałem historie o atakach, gdzie przestępcy infiltrowali sieć przez kilka miesięcy w poszukiwaniu kluczowych systemów i backupów. Inny, ciekawy przypadek to Uber, który próbował zamieść włamanie pod dywan kilka lat temu i ukryć okup pod postacią nagrody bug bounty.

Inna rzecz to reputacja grupy. Jeżeli opierają działalność na żądaniach okupu z zamian za odzyskanie danych albo ich nie opublikowanie, to wypada dotrzymać słowa albo spełnić od czasu do czasu groźby, bo inaczej nikt nie będzie brał ich na poważnie. Ciężko udowodnić, że nie sprzedali danych komuś innemu, chyba, że dokładnie ten zestaw danych gdzieś wypłynie w darknecie.

Share this post


Link to post
Share on other sites

Prędzej jakiś cryptolocker, który tym razem okazał się skuteczny i okup był za klucze deszyfrujące.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Europol wraz z policjami kilku krajów doprowadził do likwidacji botnetu Emotet, jednego z najdłużej działających i najpoważniejszych zagrożeń w internecie. Śledczy Europolu oraz policja m.in. z USA, Wielkiej Brytanii i Francji przejęli kontrolę nad setkami serwerów, które tworzyły Emotet.
      Śledztwo trwało niemal przez dwa lata, w czasie których zmapowano botnet. Wczoraj zaś przystąpiono do jego likwidacji. W jej ramach dokonano m.in. przeszukań na Ukrainie.
      Brytyjska National Crime Agency (NCA), która odpowiadała za śledzenie przepływów finansowych twórców Emoteta, dowiedziała się m.in. że w ciągu tych dwóch lat przez tylko jedną z platform handlu kryptowalutami przepuścili oni 10,5 miliona dolarów. W tym czasie na utrzymanie botnetu wydali 500 000 USD.
      Początki botnetu sięgają 2014 roku. Narodził się on jako przeciętny trojan bankowy, z czasem jednak urósł do szkodliwego kodu rozprzestrzeniającego inny szkodliwy kod. Wykorzystano go też do stworzenia Qbota, TrickBota oraz ransomware Ryuk.
      Śledztwo wykazało, że w samym tylko grudniu ubiegłego roku Emotet każdego dnia atakował 100 000 internautów, przez co wpłynął na 7% organizacji na całym świecie.
      Emotet stał za jednymi z najpoważniejszych cyberataków w ostatnich czasach. Przechodziło przez niego nawet 70% światowego szkodliwego kodu, mówi dyrektor National Cyber Crime Unit, Nigel Leary. Mamy tutaj dobrzy przykład skali i natury cyberprzestępczości, która umożliwia popełnianie innych przestępstw i czyni olbrzymie szkody zarówno finansowe, jak i psychologiczne, dodaje.
      Twórcy Emoteta wykorzystywali wiele różnych technik unikania wykrycia. Byli m.in. w stanie zarazić całe sieci korporacyjne po uzyskaniu dostępu do zaledwie kilku urządzeń. Do ataku dochodziło często za pośrednictwem e-maila i zarażonych załączników, w tym fałszywych faktur, informacji o rzekomej przesyłce czy alertów dotyczących COVID-19.
      Stefano De Blasi, ekspert z firmy Digital Shadows pochwalił pracę organów ścigania, ostrzegł jednak, że przedsiębiorstwa nie mogą odetchnąć z ulgą. Przypomniał, że w ubiegłym roku US Cyber Command zlikwidowała Trickbota, a niedawno botnet ten znowu powrócił i to w formie bardziej odpornej na likwidację. Wspomniane przez organa ścigania „nowe i unikatowe” podejście do Emoteta mogło polegać na tym, że lepiej poznano jego wewnętrzną strukturę, co może skutkować jego dłuższym wyłączeniem. Jednak trzeba podkreślić, że pomimo przejęcia infrastruktury, jest mało prawdopodobne, by Emotet zniknął na stałe. Botnety są niezwykle elastyczne i jest bardzo możliwe, że jego twórcy wcześniej czy później go odtworzą, mówi De Blasi.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Europejska Agencja Leków (EMA) poinformowała, że podczas grudniowego cyberataku przestępcy uzyskali dostęp do informacji nt. leków i szczepionek przeciwko COVID-19. Teraz dane dotyczące szczepionki Pfizera zostały przez nich udostępnione w internecie
      W trakcie prowadzonego śledztwa ws. ataku na EMA stwierdzono, że napastnicy nielegalnie zyskali dostęp do należących do stron trzecich dokumentów związanych z lekami i szczepionkami przeciwko COVID-19. Informacje te wyciekły do internetu. Organy ścigania podjęły odpowiednie działania, oświadczyli przedstawiciele EMA.
      To nie pierwszy raz, gdy cyberprzestępcy biorą na cel firmy i organizacje związane z rozwojem i dystrybucją szczepionek przeciwko COVID-19. Już w maju ubiegłego roku brytyjskie Narodowe Centrum Cyberbezpieczeństwa poinformowało, że brytyjskie uniwersytety i instytucje naukowe znalazły się na celowniku cyberprzestępców, a celem ataków jest zdobycie informacji dotyczących badań nad koronawirusem. Wspomniane grupy przestępce były prawdopodobnie powiązane z rządami Rosji, Iranu i Chin. Z kolei w listopadzie Microsoft poinformował, że powiązana z Moskwą grupa Fancy Bear oraz północnokoreańskie grupy Lazarus i Cerium zaatakowały siedem firm farmaceutycznych pracujących nad szczepionkami.
      Atak na EMA nie zakłócił działania samej Agencji, nie wpłynął też na dystrybucję szczepionek.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      US Army ogłosiła termin rozpoczęcia trzeciej edycji „Hack the Army”. Hakerskie zawody, w czasie których można będzie atakować sieć należącą do armii i zarobić na tym pieniądze, rozpocznie się 14 grudnia i potrwa do 28 stycznia lub do czasu, aż wszystkie przeznaczone na nagrody pieniądze zostaną rozdysponowane. Na razie nie wiadomo, ile pieniędzy przeznaczono na tegoroczną edycję zawodów. W roku 2019 rozdysponowano 275 000 USD.
      W bieżącym roku atakować można będzie cele w całej domenie army.mil, ale US Army zastrzega, że nagrody wypłaci tylko za znalezienie określonych kategorii błędów. Hakerzy będą mogli też atakować usługi uwierzytelniania oraz wirtualne sieci prywatne (VPN) należące do wojska.
      Projekt „Hack the Army” prowadzony jest przez US Army, Defense Digital Services, Army Cyber Command oraz firmę HackerOne. To jeden z wielu podobnych projektów prowadzonych przez amerykańskie siły zbrojne, w ramach których hakerzy mogą zdobywać pieniądze atakując wojskowe sieci i oprogramowanie. Pentagon stara się rozszerzać zakres takich programów, by w ten sposób wyłapywać luki w zabezpieczeniach. Na razie najdalej poszły US Air Force, które wprost ogłosiły, że chcą prowadzić tak dużo podobnych projektów, by hakerzy mogli utrzymywać się wyłącznie z nagród zdobywanych w takich zawodach. Będą mogli w ich ramach atakować nawet satelity.
      Firma HackerOne stworzyła platformę do współpracy z hakerami, która uzyskała odpowiednie certyfikaty bezpieczeństwa. Dzięki temu firma może organizować zawody takie, jak opisywane powyżej.
      Wszyscy uczestnicy „Hack the Army” zostaną najpierw sprawdzeni, a po pozytywnym przejściu weryfikacji otrzymają oficjalną zgodę na atakowanie army.mil i innych elementów sieci wojskowej. Będą przy tym musieli używać VPN, która będzie zapisywała i śledziła ich działania.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Jedno z największych w Finlandii centrów psychoterapii padło ofiarą hakerów. Ukradli oni dane pacjentów, a teraz domagają się 40 bitcoinów (450 000 euro) za nieupublicznianie informacji o osobach korzystających z pomocy centrum.
      Vastaamo to prywatna firma, która prowadzi 2 centra psychoterapii. Ma ponad 40 000 pacjentów. Jest podwykonawcą fińskiego państwowego systemu opieki zdrowotnej. Przed niemal 2 laty grupa cyberprzestępców rozpoczęła ataki na centrum. W ich trakcie hakerzy ukradli dane dotyczące pacjentów.
      Ekspert ds. cyberbezpieczeństwa, Mikko Hypponen, mówi, że przestępcy nie użyli ransomware, nie zaszyfrowali danych. Ukradli je i domagają się pieniędzy za ich nieujawnianie.
      Wiemy, że 21 października przestępcy – w ramach szantażowania kliniki – opublikowali część ukradzionych danych. Trzy dni później skierowali swoją uwagę na samych pacjentów, domagając się od każdego z nich od 200 do 400 euro.
      Klinika skontaktowała się z około 200 osobami, radząc, by nic nie płacili. Nie ma bowiem pewności, czy ktoś nie podszywa się pod osoby, które ukradły dane.
      Pewne jest jedno. Przestępcy ukradli nade osobowe oraz dane na temat zdrowia pacjentów, w tym zapiski z sesji terapeutycznych, daty wizyt, plany leczenia, diagnozy itp.
      Śledztwo wykazało, że dyrektor wykonawczy Vastaamo, Ville Tapio, wiedział o pewnych niedociągnięciach w zabezpieczeniach systemu informatycznego firmy, ale nic z tym nie zrobił. W reakcji na te rewelacja rada nadzorcza zdymisjonowała Tapio.
      Specjaliści ds. bezpieczeństwa mówią, że ataku można by uniknąć, gdyby firma używała lepszych systemów szyfrujących.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...