Számítógépes bűnözők törtek be a Skót Környezetvédelmi Ügynökséghez (Sepához), több mint 4000 fájlt loptak el és miután hiába próbálták zsarolóvírussal „értékesíteni” azokat, a fájlokat bosszúból közzétették.
Karácsony este loptak el hackerek 4000 digitális adatállományt a skót környezetvédelmet szabályozó hatósághoz, amelyet zsarolóvírussal zároltak és csak abban az esetben oldták volna fel, amennyiben a Sepa hajlandó fizetni. Mintegy 1,2 gigabájtnyi adatról van szó, amelyet a köztestület digitális rendszereiből lovasítottak meg a kiberbűnözők.
Miután a Sepa elutasította a Conti nemzetközi ransomware kiberbűnöző csoport által követelt váltságdíj kifizetését, a hackerek a dark weben „bosszúból” közzétették a szóban forgó adatokat. A kiadott 4000 fájl között szerepelnek különféle szerződések, stratégiai dokumentumok és adatbázisok.
Az dark web az internet speciális szoftvereken keresztül elérhető törvényenkívüli része, amely a legtöbbször bűncselekményekkel kapcsolatos hírekben bukkan fel.
Terry A'Hearn, a Sepa vezérigazgatója elmondta:
Világosan közöltük velük, hogy nem fogunk az államháztartásból fizetni olyan szervezett bűnözőknek, akiknek szándékában áll megzavarni a közszolgáltatásokat és kicsikarni az állami pénzeket. Továbbá kiemelt prioritássá tettük az adatok érzékeny kezelésével kapcsolatos jogi és körültekintési kötelezettségünket, és a skóciai rendőrség tanácsát követve megerősítjük, hogy az ellopott adatokat jogellenesen tették közzé online. Gyorsan együttműködünk több ügynökségi partnereinkel az adatok helyreállítása és a kár elemzése érdekében.
A támadás lezárta Sepa e-mailjeit és kapcsolattartó központját, de Sepa szerint
a kiemelt szabályozási, megfigyelési, árvíz-előrejelzési és figyelmeztető szolgálatok továbbra is alkalmazkodnak és működnek.
Sepa szerint a lopás egyenértékű volt egy átlagos laptop merevlemeze tartalmának töredékével.
Az ellopott információk egy része már nyilvánosan hozzáférhető volt, de más akták a személyzetre és a beszállítókra vonatkozó adatokat nem.
Ahol már beazonosítottak az ellopott információkat, ott felvették a kapcsolatot az alkalmazottakkal és támogatást nyújtanak nekik.
Brett Callow, az Emsisoft kiberbiztonsági vállalattól nyomon követte a Sepa ransomware támadást és arról beszélt, hogy a hackerek a közzététellel statuáltak példát a leendő áldozatoknak:
A Conti valószínűleg ugyanazon emberek munkája lehet, akik a Ryuk nevű másik típusú ransomware mögött is állnak. A kódban, a váltságdíjas jegyzetben és a támadási mechanizmusokban vannak hasonlóságok. Amikor az összegyűjtött adatokat így teszik közzé, ez általában azt jelenti, hogy a csoport feladta azt a reményt, hogy bármilyen módon értékesíteni tudják azokat. Ez egyébként számukra is veszteség. Ezen a ponton elvesztették minden befolyásukat és a további akció célja a jövő áldozatainak figyelmeztetése.
Michael McCullagh, a skóciai rendőrség számítógépes bűnözéssel foglalkozó részlegének munkatársa azt nyilatkozta, hogy „a vizsgálatok továbbra is folyamatban vannak, illetve speciális számítógépes bűnözéssel kapcsolatos erőforrásokat vesznek igénybe.”
A hatóságok minden esetben azt kérik a zsarolóvírusok áldozataitól, hogy ne fizessenek a zsarolóknak, hogy ne bátorítsák a további, hasonló akciókat.
A Sepa eleget tett a bűnüldöző hatóságok kérésének, viszont az okozott kár persze így is tetemes. A hackerek által eltulajdonított és titkosított fájlok tárolásának következtében Sepának hónapokig kell várnia arra, hogy megpróbálja helyreállítani a fontos dokumentumokat és táblázatokat biztonsági másolatokból, és újjáépíteni a nyilvántartásaikat. Ráadásul a hackerek webhelye szerint már több mint ezer ember nézte meg a dokumentumokat.
Továbbá a dokumentumok mindenki számára való nyitva tartása azt jelenti, hogy azokból információkat lehet kinyerni, hogy további támadások vagy zsarolási kísérletek során felhasználhatók legyenek Sepa ellen.