Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Kanadyjczycy zapłacili złodziejom za odzyskanie danych 15 milionów osób

Recommended Posts

Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.

Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.

Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.

Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Nie rozumiem. Jaka pewność że osoby, które dokonały ataku nie wykorzystają ich za tydzień, albo nie sprzedadzą komuś innemu? Przyrzekli że je usunęli, czy co?

 

Share this post


Link to post
Share on other sites
26 minut temu, gooostaw napisał:

Nie rozumiem. Jaka pewność że osoby, które dokonały ataku nie wykorzystają ich za tydzień, albo nie sprzedadzą komuś innemu? Przyrzekli że je usunęli, czy co?

 

Na początku tekstu jest mowa o "zwrocie" i "odzyskaniu" danych, więc o ile to nie jest niefortunny dobór słów to wynikałoby z tego, że hakerzy użyli opcji "wytnij" a nie "kopiuj" :P 

Share this post


Link to post
Share on other sites
46 minut temu, Warai Otoko napisał:

hakerzy użyli opcji "wytnij" a nie "kopiuj"

To taka wiara w "uczciwość" złodziei.

No ale skoro firma straciła te dane i musiała je odzyskać, to znaczy, że złodzieje znają opcję "wytnij", bo już jej raz użyli. Cała nadziej w tym, że może opcji "kopiuj" jeszcze nie znają :D

Share this post


Link to post
Share on other sites

Hakowanie odbywa się najczęściej przez command line, wiec się stosunkowo mało klika ;)

Najprawdopodobniej wyprowadzili dane z systemów firmy, po czym je usunęli wraz z backupami. Dlatego firma była zmuszona zapłacić okup, aby odzyskać dane. Nie maja żadnej gwarancji, jak to zwykle bywa w kontaktach z przestępcami, ale wygląda, że nie mieli też wyboru. W artykule nie ma nic o ransomware, ale nie chce mi się sprawdzać w oryginale. Można założyć, ze obeszło się bez szyfrowania. To znaczy, na pewno skompresowali i zaszyfrowali dane na swój użytek przed wyprowadzeniem, żeby zmniejszyć ryzyko wykrycia.

Czytałem historie o atakach, gdzie przestępcy infiltrowali sieć przez kilka miesięcy w poszukiwaniu kluczowych systemów i backupów. Inny, ciekawy przypadek to Uber, który próbował zamieść włamanie pod dywan kilka lat temu i ukryć okup pod postacią nagrody bug bounty.

Inna rzecz to reputacja grupy. Jeżeli opierają działalność na żądaniach okupu z zamian za odzyskanie danych albo ich nie opublikowanie, to wypada dotrzymać słowa albo spełnić od czasu do czasu groźby, bo inaczej nikt nie będzie brał ich na poważnie. Ciężko udowodnić, że nie sprzedali danych komuś innemu, chyba, że dokładnie ten zestaw danych gdzieś wypłynie w darknecie.

Share this post


Link to post
Share on other sites

Prędzej jakiś cryptolocker, który tym razem okazał się skuteczny i okup był za klucze deszyfrujące.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Cyberprzestępcy postanowili wykorzystać pandemię koronawirusa do własnych celów. Wiele firm zajmujących się cyberbezpieczeństwem donosi o rosnącej liczbie ataków, przede wszystkim phishingowych. Szczególnie uaktywnili się przestępcy w Chinach, Rosji i Korei Północnej.
      Hakerzy rozsyłają informacje dotyczące koronawirusa, licząc na to, że ofiary klikną na podany link, gdzie dojdzie do ataku na ich komputery. Główne cele ataków znajdują się w USA, Europie i Iranie. Rozsyłane przez przestępców informacje to rzekome komunikaty od wiarygodnych organizacji, takich jak Światowa Organizacja Zdrowia (WHO) czy amerykańskie Centra Kontroli i Zapobiegania Chorobom (CDC).
      Eksperci mówią, że przestępcy przygotowali całe kampanie i prowadzą je za pośrednictwem portali społecznościowych oraz poczty elektronicznej. Próbują atakować nie tylko komputery użytkowników indywidualnych, ale również maszyny należące do firm.
      Zauważono próby zachęcania firm do przelania pieniędzy na walkę z epidemią czy przekonania ich do zmiany banku. Przestępcy próbują też ukraść dane do logowania na pocztę elektroniczną, serwisy społecznościowe czy przejąć kontrolę nad komputerami użytkowników. Rozsyłane są rzekome komunikaty o wirusie i epidemii czy informacje o zwrocie nadpłaconego podatku oraz różnych nadzwyczajnych działaniach podjętych w związku z pandemią.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Holenderski Uniwersytet w Mastrich przyznał, że zapłacił cyberprzestępcom 30 bitcoinów, wartych 200 000 euro. Pod koniec grudnia przestępcy zaatakowali uniwersytecką sieć i zablokowali dostęp do komputerów. Za jego odblokowanie zażądali pieniędzy.
      Rektor Nick Bos powiedział, że zadecydowano się zapłacić szantażystom po tym, gdy okazało się, że odzyskanie dostępu wymagałoby zbudowania od podstaw całej uniwersyteckiej infrastruktury IT.
      Obecnie wiadomo, że do ataku doszło, gdyż miesiąc wcześniej jeden z pracowników uniwersytetu kliknął na link, który otrzymał w e-mailu. Firma analityczna Fox-IT, która pomagała uniwersytetowi w analizie ataku stwierdziła, że został on przeprowadzony przez rosyjskich przestępców z grupy TA505.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Grupa Thallium od miesięcy była na celowniku specjalistów z microsoftowych Digital Crimes Unit i Threat Intelligencje Center. W końcu 18 grudnia koncern z Redmond złożył do sądu wniosek przeciwko grupie. Tydzień później sąd wydał zgodę na przejęcie przez firmę ponad 50 domen wykorzystywanych przez hakerów.
      Thallium to cyberprzestępca grupa powiązana z rządem Korei Północnej, która wykorzystywała wspomniane domeny do przeprowadzania ataków. Wyspecjalizowała się w przeprowadzaniu precyzyjnych ataków phishingowych za pomocą e-maili. Przestępcy najpierw zbierali o ofierze jak najwięcej informacji, a następnie wysyłali do niej wiarygodnie wyglądający e-mail, którego zadaniem bylo skłonienie odbiorcy do wizyty na złośliwej witrynie.
      Jak poinformowali przedstawiciele Microsoftu, grupa brała na cel pracowników administracji rządowej, think-tanków, uczelni wyższych, członków organizacji działających na rzecz praw człowieka i pokoju oraz osoby pracujące nad problemami związanymi z rozprzestrzenianiem broni jądrowej. Jej ofiarami padali mieszkańcy USA, Japonii i Korei Południowej.
      Microsoft nie po raz pierwszy stosuje podobną taktykę do zwalczania grup cyberprzestępczych. Wcześniej przejmował domeny rosyjskich, chińskich i irańskich hakerów.
      Oczywiście przejęcie domen nie rozbija grupy hakerskiej. Jednak na jakiś czas zmniejsza lub paraliżuje jej aktywność, a specjaliści ds. bezpieczeństwa, analizując dane znalezione w przejętych domenach, mogą lepiej poznać taktykę cyberprzestępców.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Powiązani z chińskim rządem hakerzy z grupy APT41 włamali się do sieci wielkich firm telekomunikacyjnych, by móc podsłuchiwać rozmowy prowadzone przez światowych liderów. Eksperci z firmy FireEye Mandiant twierdzą, że hakerzy zainfekowali sieci narzędziem o nazwie MessageTap.
      Złośliwy kod został po raz pierwszy zauważony na linuksowych serwerach telekomunikacyjnych obsługujących SMS-y. Jego zadaniem było wyszukiwanie i kradzież treści wysyłanych przez osoby, którymi interesują się chińskie służby. Jak informuje FireEye, na celownik wzięto konkretne numery telefonów i numery IMSI. Wiadomości je zawierające były przechowywane w pliku CSV.
      Kradzione były też SMS-y zawierające słowa kluczowe związane z geopolityką. Były to na przykład treści zawierające interesujące Chińczyków nazwiska polityków, nazwy organizacji wojskowych i wywiadowczych oraz ruchów politycznych, czytamy w komunikacie FireEyer.
      firma ostrzega, że chińscy hakerzy zintensyfikowali swoje działania od roku 2017, gdy przekonali się, że ich działania pozwalają na zdobycie wielu poufnych informacji. W roku 2019 sama grupa APT41 zaatakowała cztery telekomy, a inne grupy powiązane z Pekinem wzięły na cel kolejne przedsiębiorstwa telekomunikacyjne.
      Poza operatorami telekomunikacyjnymi celem APT41 były też inne organizacje, takie jak firmy turystyczne czy zakłady opieki zdrowotnej, które posiadają informacje na temat interesujących osób, stwierdzają specjaliści FireEye. Jednocześnie zapewniono, że sprzęt, do którego włamali się Chińczycy nie został wyprodukowany przez Huawei.

      « powrót do artykułu
×
×
  • Create New...