Uniwersytet w Utah zapłacił okup za ransomware

Uniwersytet w Utah zapłacił okup za ransomware

29 sierpnia 2020 1 przez Rafał Skrzypek

Władze uniwersytetu w Utah, w porozumieniu z ubezpieczycielem, zapłaciły okup grupie, która za pomocą ransomware sparaliżowała część serwerów zawierających dane studentów i pracowników. Chodzi o Wydział Nauk Społecznych i Behawioralnych.

Nie wiadomo, jakim programem zaszyfrowano dyski, ale władze uczelni zdecydowały się na zapłatę z innego powodu. Operatorzy ransomware grozili ujawnieniem danych, które pobrali z serwerów, zanim zaszyfrowali te informacje. Uniwersytet nie podaje dokładnie, o jakie dane chodzi. Wiadomo tylko, że 10 dni po incydencie poproszono użytkowników o zmianę haseł dostępu.

W wypłaceniu pieniędzy na okup pośredniczyła firma ubezpieczeniowa, która specjalizuje się w takich transakcjach. Według władz uczelni w ten sposób pokryto całość kwoty, czyli 457 tys. dolarów. Jak w większości takich przypadków użyto bitcoinów, ponieważ zapewniają one cyberprzestępcom anonimowość.

Uniwersytet odizolował na razie zainfekowane serwery od reszty sieci i prowadzi śledztwo. Ze wstępnych informacji wynika, że zidentyfikowano już słabe miejsca w zabezpieczeniach i poprawiono je na tyle, aby podobny atak się nie zdarzył. Na ile to prawda, okaże się pewnie za jakiś czas.

To nie pierwszy i nie ostatni taki przypadek

Utah to nie jedyne miejsce, w którym cyberprzestępcy zaatakowali uczelnię. Wiosną tego roku podobne incydenty miały miejsce na Uniwersytecie Stanowym Michigan, Columbia College w Chicago oraz Uniwersytecie Kalifornijskim. W tych przypadkach użyto ransomware o nazwie NetWalker.

Władze uczelni z Michigan zdecydowały się nie płacić okupu. Po 6 dniach, które podano w ultimatum, cyberprzestępcy opublikowali wykradzione dane w darknecie. To samo spotkało później Royal Military College z Ontario. Kanadyjczycy również zdecydowali się nie płacić okupu. Po kilku dniach przestępcy ujawnili zdobyte dane.

Standardowym działaniem operatorów ransomware jest publikacja tylko części wykradzionych informacji po upływie terminu wypłaty okupu. Ma to przekonać ich właściciela do zapłaty, a jednocześnie udowodnić, że cyberprzestępcy rzeczywiście je posiadają. To swoisty rodzaj dowodu życia, jakim posługują się czasem porywacze. Jeśli ofiara dalej nie ma chęci zapłacić, skradzione dane publikuje się w darknecie, najczęściej w kilku osobnych pakietach.

Szerzej o ransomware oraz o tym, jak się przed nim bronić piszemy w tym artykule.