Администратор стоматологического плана Альберты заплатил банде вымогателей после атаки

Агентство, которое управляет планами стоматологических пособий для детей-инвалидов, пожилых людей и жителей Альберты с низким доходом, заплатило банде вымогателей 8base нераскрытую сумму денег после того, как мошенники показали, что они удалили данные, украденные группой в ходе недавней атаки.

Независимая некоммерческая корпорация Alberta Dental Services Corp. заявила в четверг, что 9 июля злоумышленник зашифровал некоторые из ее ИТ-систем и данных, сделав их временно недоступными, после доступа к ИТ-сети и копирования данных около 1,7 миллиона человек через некоторое время после 7 мая.

«К счастью, — говорится на сайте корпорации, — мы смогли восстановить поврежденные системы и данные из резервных копий с минимальной потерей данных».

Президент корпорации Лайл Бест сказал в сегодняшнем интервью, что платеж был произведен в рамках переговоров между поставщиком киберстрахования организации и судебным следователем. Банда представила доказательства того, что данные были удалены в рамках сделки.

Были просмотрены данные около 1,47 миллиона человек, некоторые или все из которых были скопированы. Из них около 7300 записей содержали личную банковскую информацию от людей, предоставивших свои банковские реквизиты корпорации.

С пострадавшими жителями Альберты свяжутся напрямую и предоставят важные советы о том, как дополнительно защитить их личную информацию. Тем, чьи личные финансовые данные были затронуты, будет предложен бесплатный кредитный мониторинг.

На вопрос, как злоумышленнику удалось обойти элементы управления ИТ-безопасностью, Бест сказал: «Первым признаком является то, что кто-то открыл фишинговое электронное письмо.

«Они зашифровали пути к нашим данным, что было занозой в заднице. Но у нас были хорошие резервные копии, поэтому мы просто сделали резервную копию и разместили ее на разных серверах, убедившись, что они не находятся ни в одной сети».

«У нас есть продукт под названием Quikard», который управляет счетами расходов на здравоохранение для работодателей по всей Канаде и не связан с государственными программами Альберты. «В то время нам казалось, что взломаны были только данные Quikard. Не прошло и нескольких недель, как мы обнаружили, что у них вполне мог быть доступ, чтобы посмотреть на [Alberta] правительственные вещи».

8Base «действительно зашифровала некоторые файлы, и они показали нам доказательство того, что они это сделали. И затем, в конце концов, они представили доказательства того, что удалили его» после получения выкупа.

Об инциденте было сообщено в RCMP и полицию Эдмонтона, сказал Бест, поэтому он не может разглашать сумму выкупа. О нападении также сообщили провинциальному уполномоченному по информации и конфиденциальности.

По словам Беста, в конце прошлого года независимая компания провела аудит кибербезопасности корпорации, обнаружив «одну или две уязвимости на портале, который мы используем для разработки». В остальном мы были солидны».

Когда было высказано предположение, что безопасность не является надежной, Бест сказал: «От фишинговой электронной почты вы можете защитить только так много. Очевидно, мы собираемся поболтать с людьми, которые проводили тестирование на проникновение. Это [ransomware] просто кажется, что сейчас в мире такая эпидемия, особенно в Канаде».

Оглядываясь назад, на вопрос, что можно было сделать, чтобы предотвратить проникновение злоумышленника в ИТ-сеть или предотвратить распространение атаки, Бест ответил: «Мы обучаем всех наших сотрудников проявлять бдительность в отношении этих фишинговых писем. Наш ИТ-отдел всегда проверяет наших сотрудников на эти вещи. Я думаю, одна из вещей, которую мы узнали, это то, что нам, вероятно, не нужно оцифровывать столько материала, сколько мы делаем. Нам не нужно иметь столько на некоторых сетевых дисках. Например, у нас есть файлы, относящиеся к 2007 году. На самом деле они нам не нужны. Предстоит проделать большую работу, поэтому у нас есть только те данные, которые нам нужны».

Платить выкуп за удаление данных не имеет большого смысла, считает Бретт Кэллоу, аналитик угроз из Британской Колумбии для Emsisoft. «Нет абсолютно никакого способа узнать наверняка, был ли он удален или будет удален, и организации просто должны верить, что преступники будут верны своему слову — ударение на слове «преступники». Неудивительно, что это не всегда так. Некоторые организации подверглись вымогательству во второй раз после уплаты выкупа, при этом данные, которые якобы были удалены, были опубликованы в Интернете после того, как они отказались платить во второй раз. Какая оплата делает сделать, однако, состоит в том, чтобы сохранить прибыльность экосистемы программ-вымогателей и обеспечить продолжение атак».

Корпорация управляет стоматологическими льготами в Альберте через Программу стоматологической помощи для пожилых людей (DASP) и через Программу льгот для малоимущих в Альберте, которая включает в себя гарантированный доход для людей с тяжелыми формами инвалидности (AISH), пособие по болезни для взрослых в Альберте, пособие по здоровью для детей в Альберте и поддержку доходов. .

По данным VMware, банда 8base начала работу в марте и, по-видимому, скорее находит жертв, чем нацеливается на них. «Скорость и эффективность текущих операций 8Base не указывают на начало новой группы, а скорее означают продолжение хорошо зарекомендовавшей себя зрелой организации», — говорят в VMware.

В отчете говорится, что этой группой может быть RansomHouse, с которой у нее есть ряд общих черт с точки зрения тактики. В одном случае записка о выкупе 8base на 99% совпадала с запиской о выкупе RansomHouse. Как и страницы условий обслуживания и часто задаваемых вопросов двух групп. С другой стороны, RansomHouse использует широкий спектр программ-вымогателей, доступных на темных рынках, и не имеет собственного кода подписи.

(Эта история была обновлена ​​по сравнению с оригиналом с добавлением комментариев Бретта Кэллоу)