Interne documenten zijn gelekt toen Rhysida de verantwoordelijkheid opeiste voor de ransomware-aanval op British Library
De British Library, die werd getroffen door een ransomware-aanval die haar computersystemen, website, telefoonnetwerk en openbare wifi gedurende meer dan drie weken heeft uitgeschakeld, bevestigde gisteren dat er na de aanval interne HR-documenten zijn gelekt.
De Rhysida-ransomwaregroep heeft de verantwoordelijkheid opgeëist voor de aanval, waardoor lezers die toegang zochten tot boeken en manuscripten, aanvragen moesten indienen via handmatige catalogi in het King’s Cross-gebouw van de bibliotheek, in wat zij omschrijven als een “zeer beperkte service”.
Op maandag 20 november lanceerde de hackgroep een zevendaagse veiling op haar website, waarbij gegevens werden aangeboden die zij beweerde te hebben gestolen uit de British Library.
“Grijp met slechts 7 dagen op de klok de kans om te bieden op exclusieve, unieke en indrukwekkende gegevens. Open uw portemonnee en wees klaar om exclusieve data te kopen. Wij verkopen slechts aan één hand, geen wederverkoop, jij zult de enige eigenaar zijn”, aldus de verklaring.
Rhysida heeft een biedprijs van 20 bitcoins (ongeveer £600.000) op een site op het dark web gezet om de gegevens te kopen, maar kan de gegevens toch publiceren als er geen afnemers zijn.
De bibliotheek heeft geen publiek commentaar gegeven op de beweringen van Rhysida, maar zei in een verklaring update over Xvoorheen bekend als Twitter, dat sommige HR-gegevens leken te zijn gelekt uit de interne HR-bestanden.
Een afbeelding met een lage resolutie op de Tor-website van Rhysida lijkt paspoorten en werkgerelateerde documenten te tonen.
“We hebben geen bewijs dat gegevens van onze gebruikers zijn gecompromitteerd”, aldus de bibliotheek in een update. “Als u echter een login voor British Library heeft en uw wachtwoord elders wordt gebruikt, raden we u aan dit uit voorzorg te wijzigen.”
De bibliotheek heeft te maken gehad met aanzienlijke verstoringen op haar locaties in St Pancreas, Londen, en het bijgebouw in Boston Spa, Yorkshire, nadat op 28 oktober werd gemeld dat een “technisch probleem” haar IT-systemen had getroffen. Op 14 november bevestigde het dat het was getroffen door een ransomware-aanval.
De bibliotheek heeft geen werkende telefoondienst of website meer en kan alleen contante betalingen aannemen. Het bevestigde in updates dat het samenwerkt met de Metropolitan Police en het National Cyber Security Center (NCSC) om forensisch onderzoek uit te voeren.
Hoge prijs gevraagd voor gegevens van British Library
Victoria Kivilevich, directeur dreigingsonderzoek bij beveiligingsbedrijf KELA, zei dat de prijs die Rhysida eiste voor de gegevens van de British Library relatief hoog was, maar niet de hoogste, namelijk 50 bitcoins voor gegevens die in augustus 2023 van Prospect Medical Holdings waren gestolen.
“De Rhysida-groep slaagt er niet altijd in om de gegevens die ze proberen te veilen te verkopen, zoals blijkt uit het bekijken van hun website. Ze probeerden bijvoorbeeld onlangs gestolen gegevens van Azienda Ospedaliera Universitaria Integrata di Verona te verkopen voor 10 bitcoins, maar deze zijn nu openbaar beschikbaar op hun website, wat aangeeft dat er geen kopers waren”, zei ze.
In een adviesnota van de FBI en de Amerikaanse Cybersecurity and Information Structure Agency (CISA) stond vorige week dat de malware, voor het eerst geïdentificeerd in mei 2023, als ransomware wordt aangeboden als een dienst aan criminele groepen, die vervolgens de winst delen met de eigenaren van de ransomware.
Hackers krijgen toegang via VPN’s
Criminelen krijgen doorgaans toegang tot geïnfecteerde computersystemen door gebruik te maken van bekende kwetsbaarheden, zoals ZeroLogon.
Aanvallers hebben ook de inloggegevens gecompromitteerd om toegang te krijgen tot virtuele particuliere netwerken (VPN’s), vooral wanneer organisaties er niet in zijn geslaagd tweefactorauthenticatie standaard in te schakelen.
Groepen die de malware gebruiken, houden zich bezig met “dubbele afpersing” door losgeld te eisen om de gegevens van de slachtoffers te ontsleutelen en te dreigen de gegevens te publiceren tenzij er losgeld wordt betaald.
Slachtoffers ontvangen een pdf-losgeldbrief waarin elk aangevallen bedrijf een unieke referentiecode en instructies krijgt om contact op te nemen met de groep op het dark web.
Jim Walter, senior dreigingsonderzoeker bij SentinelLabs, vertelde Computer Weekly: “Enkele van hun vroege en opmerkelijke doelwitten omvatten het Chileense leger. Ze hebben ook regeringsdoelen in Koeweit en de Dominicaanse Republiek getroffen.
“Naast overheidsinstanties heeft Rhysida zich ook gericht op organisaties in de onderwijs- en academische sector, dus een aanval op de British Library valt binnen het bereik van de groep,” voegde hij eraan toe.
Marcelo Rivero, senior malware-onderzoeksingenieur bij Malwarebytes, zei dat Rhysida doorgaans ‘van het land leven’-technieken gebruikt om netwerkbeheertools te exploiteren die in het Windows-besturingssysteem zijn ingebouwd. Hierdoor kunnen aanvallers detectie omzeilen door zich te mengen in normale netwerkactiviteiten.