أكدت المكتبة البريطانية، التي تعرضت لهجوم فدية أدى إلى تعطيل أنظمة الكمبيوتر والموقع الإلكتروني وشبكة الهاتف وخدمة الواي فاي العامة لأكثر من ثلاثة أسابيع، أمس أن وثائق الموارد البشرية الداخلية قد تسربت في أعقاب الهجوم.
أعلنت مجموعة Rhysida Ransomware مسؤوليتها عن الهجوم، الذي ترك القراء الذين يسعون للوصول إلى الكتب والمخطوطات يضطرون إلى تقديم طلبات من الكتالوجات اليدوية في مبنى King’s Cross بالمكتبة، فيما وصفته بأنه “خدمة محدودة للغاية”.
وفي يوم الاثنين 20 نوفمبر/تشرين الثاني، أطلقت مجموعة القرصنة مزادًا لمدة سبعة أيام على موقعها الإلكتروني، حيث عرضت فيه البيانات التي تدعي أنها سرقتها من المكتبة البريطانية.
“مع مرور 7 أيام فقط، اغتنم الفرصة لتقديم عطاءات على بيانات حصرية وفريدة ومثيرة للإعجاب. افتح محفظتك وكن مستعدًا لشراء البيانات الحصرية. نحن نبيع بيد واحدة فقط، ولا نعيد البيع، وستكون أنت المالك الوحيد”.
أدرجت Rhysida سعر عرض بقيمة 20 عملة بيتكوين (حوالي 600 ألف جنيه إسترليني) على موقع على الويب المظلم لشراء البيانات، لكنها قد تنشر البيانات على أي حال إذا لم يكن هناك مشاركين.
ولم تصدر المكتبة أي تعليق عام على ادعاءات ريسيدا، لكنها قالت في بيان التحديث على Xأعلنت شركة تويتر، المعروفة سابقًا باسم تويتر، أن بعض بيانات الموارد البشرية قد تسربت على ما يبدو من ملفات الموارد البشرية الداخلية الخاصة بها.
يبدو أن هناك صورة منخفضة الدقة على موقع Tor الخاص بشركة Rhysida تُظهر جوازات السفر والمستندات المتعلقة بالتوظيف.
وقالت المكتبة في تحديث: “ليس لدينا أي دليل على تعرض بيانات مستخدمينا للاختراق”. “ومع ذلك، إذا كان لديك معلومات تسجيل دخول للمكتبة البريطانية وتم استخدام كلمة المرور الخاصة بك في مكان آخر، فإننا نوصي بتغييرها كإجراء احترازي.”
واجهت المكتبة اضطرابًا كبيرًا في مواقعها في سانت بانكرياس، لندن، وملحقها في بوسطن سبا، يوركشاير، منذ أن ذكرت أن “مشكلة فنية” أثرت على أنظمة تكنولوجيا المعلومات الخاصة بها في 28 أكتوبر. وأكدت في 14 نوفمبر/تشرين الثاني حدوث ذلك تعرضت لهجوم الفدية.
لقد تُركت المكتبة بدون خدمة هاتفية أو موقع إلكتروني فعال، وهي قادرة فقط على قبول المدفوعات النقدية. وأكدت في التحديثات أنها تعمل مع شرطة العاصمة والمركز الوطني للأمن السيبراني (NCSC) لإجراء تحقيق جنائي.
ارتفاع الأسعار المطلوبة لبيانات المكتبة البريطانية
وقالت فيكتوريا كيفيليفيتش، مديرة أبحاث التهديدات في شركة الأمن KELA، إن السعر الذي طلبته Rhysida مقابل بيانات المكتبة البريطانية كان مرتفعًا نسبيًا، لكنه ليس الأعلى، وهو 50 بيتكوين مقابل البيانات المسروقة من Prospect Medical Holdings في أغسطس 2023.
“لا تتمكن مجموعة Rhysida دائمًا من بيع البيانات التي تحاول بيعها بالمزاد العلني، كما يمكن رؤيته من خلال النظر إلى موقعها على الويب. على سبيل المثال، حاولوا مؤخرًا بيع البيانات المسروقة من Azienda Ospedaliera Universitaria Integrata di Verona مقابل 10 عملات بيتكوين، لكنها الآن متاحة للجمهور على موقعهم على الإنترنت، مما يشير إلى عدم وجود مشترين.
وقالت مذكرة استشارية من مكتب التحقيقات الفيدرالي ووكالة الأمن السيبراني وهيكل المعلومات الأمريكية (CISA) الأسبوع الماضي إن البرامج الضارة، التي تم تحديدها لأول مرة في مايو 2023، يتم تقديمها كبرامج فدية كخدمة للجماعات الإجرامية، التي تتقاسم بعد ذلك الأرباح مع مالكي برامج الفدية.
يتمكن المتسللون من الوصول عبر شبكات VPN
عادةً ما يتمكن المجرمون من الوصول إلى أنظمة الكمبيوتر المصابة باستخدام نقاط الضعف المعروفة، مثل ZeroLogon.
كما قام المهاجمون أيضًا باختراق بيانات الاعتماد للوصول إلى الشبكات الافتراضية الخاصة (VPN)، لا سيما عندما تفشل المؤسسات في تمكين المصادقة الثنائية بشكل افتراضي.
وتنخرط المجموعات التي تستخدم البرامج الضارة في “الابتزاز المزدوج” من خلال المطالبة بدفع فدية لفك تشفير بيانات الضحايا والتهديد بنشر البيانات ما لم يتم دفع الفدية.
يتلقى الضحايا مذكرة فدية بتنسيق PDF تزود كل شركة تمت مهاجمتها برمز مرجعي فريد وتعليمات للاتصال بالمجموعة على الويب المظلم.
قال جيم والتر، كبير الباحثين في مجال التهديدات في SentinelLabs، لموقع Computer Weekly: “شملت بعض عمليات الاستهداف المبكرة والبارزة الجيش التشيلي. كما ضربت أهدافًا حكومية في الكويت وجمهورية الدومينيكان.
وأضاف: “بالإضافة إلى الجهات الحكومية، استهدفت ريسيدا منظمات في القطاعين التعليمي والأكاديمي، لذا فإن الهجوم على المكتبة البريطانية يقع ضمن نطاق اختصاص المجموعة”.
وقال مارسيلو ريفيرو، كبير مهندسي أبحاث البرمجيات الخبيثة في Malwarebytes، إن Rhysida يستخدم عادةً تقنيات “العيش خارج الأرض” لاستغلال أدوات إدارة الشبكة المضمنة في نظام التشغيل Windows. يتيح ذلك للمهاجمين تجنب الكشف عن طريق الدمج مع أنشطة الشبكة العادية.
