Università di Maastrich paga 30 bitcoin di riscatto agli hacker

Università di Maastrich paga 30 bitcoin di riscatto agli hacker
L’Università di Maastricht ha rivelato di aver pagato il riscatto di 30 bitcoin richiesto dagli hacker che hanno crittografato alcuni dei suoi sistemi critici a seguito di un attacco informatico che ha avuto luogo il 23 dicembre 2019.

“Una parte della nostra infrastruttura tecnica è stata colpita durante l’attacco. Tale infrastruttura è composta da 1.647 server Linux e Windows e 7.307 workstation”, spiega l’università in un riassunto della gestione del rapporto sugli incidenti Fox-IT e della risposta della messaggistica unificata.

“L’attacco alla fine si è concentrato su 267 server del dominio Windows. L’attaccante si è concentrato sulla crittografia dei file di dati nel dominio Windows. Anche il backup di un numero limitato di sistemi è stato interessato.”

La messaggistica unificata afferma che ora tutti i sistemi critici dispongono di backup online e offline per evitare di affrontare uno scenario di fallimento totale futuro in caso di un altro attacco ransomware.

Fox-IT collega TA505 all’attacco

“Il modus operandi del gruppo dietro questo specifico attacco si presenta con un gruppo criminale che ne ha già uno che ha una lunga storia e risale almeno al 2014”, afferma Fox-IT nel suo report.

TA505 è un gruppo di hacker motivato dal punto di vista finanziario noto principalmente per il targeting di società di vendita al dettaglio e istituzioni finanziarie almeno dal terzo trimestre del 2014.

Sono anche noti per l’utilizzo di Trojan di accesso remoto (RAT) e downloader di malware che hanno consegnato i Trojan bancari Dridex e Trick come payload secondari durante le loro campagne, nonché diversi ceppi di ransomware tra cui Locky, BitPaymer, Philadelphia, GlobeImposter e Jaff sui loro obiettivi ‘computer, ora include anche Clop ransomware dopo l’attacco alla messaggistica unificata.
Gli hacker si sarebbero infiltrati nei sistemi dell’università tramite due email di phishing che sono state aperte su due sistemi di messaggistica unificata il 15 e 16 ottobre.

L’università ha pagato il riscatto per decifrare i file il 30 dicembre dopo aver analizzato attentamente le opzioni tra cui la ricostruzione di tutti i sistemi infetti da zero o il tentativo di creare un decryptor.
“Durante l’indagine, sono state trovate tracce che dimostrano che l’attaccante ha raccolto dati riguardanti la topologia della rete, i nomi utente e le password di più account e altre informazioni sull’architettura di rete”, afferma il riepilogo del rapporto.
Inoltre, Fox-IT afferma che “non ha trovato alcuna traccia nell’ambito dell’indagine che punta alla raccolta di altri tipi di dati”.

Riscatto pagato per evitare la perdita di dati e mesi di inattività

Dopo l’attacco, l’università ha assicurato i servizi della società di sicurezza Fox-IT per fornire assistenza nelle indagini forensi sull’incidente, nel processo di gestione delle crisi e per fornire consulenza durante il recupero secondo le dichiarazioni ufficiali parte di una conferenza stampa del 5 febbraio.

L’università ha affermato che l’indagine degli esperti di sicurezza informatica “indica come i criminali informatici abbiano preso in ostaggio alcuni dei dati della messaggistica unificata,” la ricerca e i dati personali non sono stati riparati.

Tuttavia, l’università continuerà a indagare se questa conclusione è accurata al 100% tramite la “ricerca di follow-up sulla possibile estrazione” di importanti file di dati rappresentativi di istruzione, ricerca e operazioni commerciali come Fox-IT raccomanda.

L’università ha affermato di aver acquisito il decryptor ransomware dagli aggressori informatici pagando un riscatto di 30 bitcoin per ripristinare tutti i file crittografati come riportato da Reuters.
Ciò ha permesso di evitare di dover ricostruire tutti i sistemi compromessi da zero, perdendo tutti i dati di ricerca, istruzione e personale e ritardando gli esami e i pagamenti salariali ai 4.500 dipendenti dell’università.

“È una decisione che non è stata presa alla leggera dal Consiglio Direttivo. Ma è stata anche una decisione che doveva essere presa”, ha detto un portavoce dell’università. “Abbiamo ritenuto, in consultazione con la nostra direzione e i nostri organi di controllo, che non potevamo fare alcuna altra scelta responsabile quando si considerano gli interessi dei nostri studenti e del nostro personale.”
FONTE:  SICUREZZA.NET

Stampa   Email

Dallo stesso autore

Articoli correlati