Время собирать «подарки»

Вернувшиеся после рождественских и новогодних каникул сотрудники некоторых государственных и образовательных учреждений в США и Европе столкнулись с заблокированными хакерами компьютерными системами и требованиями миллионных выкупов за возвращение похищенных данных. В большинстве случаев эксперты считают, что к кибератакам причастны российские хакеры.

Сразу 14 школ Великобритании пострадали из-за утечки информации. По данным BBC, хакеры выложили в Интернет персональные данные учеников и сотрудников, не дождавшись требуемого выкупа. Информация содержит имена и возраст детей, сканы их документов, сведения о заработной плате сотрудников и детали контрактов, документы датируется 2021 и 2022 гг. За частью атак стоит группировка Vice Society, считают в BBC, которую иногда называют русской. Расследуя сентябрьскую кибератаку на Pates Grammar School в Глостершире, журналисты корпорации обнаружили документы, касающиеся других учебных заведений.

Администрации ряда школ сразу уведомили персонал, родителей школьников и самих учащихся об утечках, но не раскрыли подробности по требованию Комиссариата по защите информации Великобритании. Часть школ отказались от комментариев для BBC.

Группировка Vice Society стоит за серией громких атак на школы в Великобритании и США, в частности, ее считают причастной к нападению на Объединенный школьный округ Лос-Анджелеса.

Так временем хакеры требуют £15 млн в криптовалюте за информацию с компьютеров учителей 16 учебных заведений Великобритании. Атака затронула все 15 школ, управляемых Учебным фондом Хоуп Сентаму из Йорка. Еще один пострадавший – частная школа Hymers College из Кингстон-апон-Холла в Йоркшире.

Сотни учителей узнали о взломе, выйдя на работу после новогодних каникул. Их попросили не включать компьютеры и вернуться к традиционным методам ведения уроков – с помощью бумаги и ручек.

Хакеры требуют оплатить выкуп в размере £15 млн в криптовалюте, в противном случае персональные данные попадут в открытый доступ в даркнете. Для школ указанная сумма является огромной, а администрация не стремится поощрять киберпреступников. К тому же, как сообщает Sun, Фонд уже восстановил часть заблокированных ресурсов.

По данным расследующих инцидент специалистов, кибератака на компьютерные сети школ произошла несколько недель назад. Эксперты также советуют пострадавшим не выплачивать выкуп.

3 января 2023 г. Управление жилищного хозяйства города Лос-Анджелес (Housing Authority of the City of Los Angeles, HACLA) сообщило о кибератаке, в результате которой в руках хакеров оказалось 15 Тб данных.

Инцидент был обнаружен 31 декабря, когда хакеры опубликовали скриншоты полученных ими данных, заблокированных с помощью шифровальщика LockBit.

Официальные лица HACLA сообщили, что уведомили о происшествии федеральные правоохранительные органы и привлекли специалистов к расследованию инцидента. Ведется восстановление систем. Представитель HACLA Кортни Глэдни отказалась сообщить, было ли выдвинуто требование о выкупе. При этом журналисты обнаружили на сайте LockBit в даркнете информацию, касающуюся HACLA, и требование выкупа, который необходимо выплатить до 12 января.

LockBit считается одним из самых активных и разрушительных вариантов программ-вымогателей в мире. С января 2020 г. члены группировки LockBit выдвинули требования о выкупе на сумму более $100 млн, часть которых была выплачена. Некоторые издания связывают хакеров LockBit с Россией.

Управление жилищного хозяйства города Лос-Анджелес — одно из крупнейших государственных учреждений страны. HACLA предоставляет доступное жилье более чем 83 тысячам домохозяйствам в рамках программ помощи при аренде государственного жилья, предлагает программы жилищной поддержки для бездомных и малоимущих.

Принадлежащая Google компания Mandiant опубликовала расследование о деятельности хакерской группировки Turla, которая использует инфраструктуру вредоносного программного обеспечения десятилетней давности для развертывания новых бэкдоров. По данным Mandiant, вредоносное ПО под названием Andromeda (оно же Gamarue) было загружено в VirusTotal в 2013 г., активизация старых механизмов его распространения отмечена в 2022 г.

Деятельность группировки Turla (она же Iron Hunter, Krypton, Uroburos, Venomous Bear и Waterbug), которую связывают с российскими спецслужбами, нацелена на правительственные, дипломатические и военные организации. С конца февраля прошлого года Turla может стоять за серией фишинговых атак и разведывательных операций на ресурсы Украины, считают в Mandiant, подробно описывая механизмы работы вредоноса и его составляющих.

С новогодней сенсацией выступило агентство Reuters. Российская хакерская группировка ColdRiver летом 2022 г. осуществила фишинговые атаки на ядерные исследовательские лаборатории в США: Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальную лабораторию имени Лоуренса (LLNL). По данным агентства, ссылающегося на мнение пяти экспертов в области ИБ, целью хакеров стали пароли сотрудников. Reuters не сообщает, были ли атаки удачными.

Cold River (она же Callisto или Seaborgium) стоит за кибератаками на компьютерные системы консалтинговых компаний в области обороны и разведки, НПО, аналитических центров и высших учебных заведений в Великобритании и США. Атаки проводятся путем создания фишинговых сайтов и проведения фишинговых рассылок по электронной почте сотрудников компаний.

Согласно данным Reuters, Cold River впервые попала в поле зрения специалистов по ИБ после атаки на министерство иностранных дел Великобритании в 2016 г., учетные записи электронной почты, использованные в хакерских операциях в период с 2015 по 2020 гг., привели исследователей в г. Сыктывкар. Опрошенные агентством эксперты считают группировку влиятельной и связывают ее с российскими спецслужбами. Деятельность Cold River активизировалась после начала СВО.