أكدت المكتبة البريطانية أن بيانات المستخدم قد تم تسريبها وتسريبها من قبل كارتل برامج الفدية وراءها الهجوم السيبراني في أكتوبر على أنظمتها، والتي تظل غير متصلة بالإنترنت بعد أسابيع، مما يجعل المكتبة قادرة على تشغيل الحد الأدنى من الخدمة المجردة فقط.
وأكدت المؤسسة الأسبوع الماضي أنها فعلت ذلك وقع ضحية لهجوم الفدية من خلال عملية Rhysida الناشئة – على الأرجح شركة تابعة – بعد أن نشر مجرمو الإنترنت أدلة على أنهم سرقوا مستندات داخلية، معظمها ملفات الموارد البشرية، وبدأوا مزادًا لمدة سبعة أيام انتهى يوم الاثنين 27 نوفمبر.
وبعد انقضاء هذه المهلة، صرحت المكتبة البريطانية عبر Twitter / X أنه يبدو الآن أن مدى خرق البيانات الناجم عن الهجوم كان أسوأ مما كان يعتقد.
وقال متحدث باسم الشركة: “بعد التأكيد الأسبوع الماضي على أن هذا كان هجومًا ببرنامج فدية، لدينا الآن أدلة تشير إلى أن المهاجمين ربما قاموا بنسخ بعض بيانات المستخدم، ويبدو أنه تم نشر بيانات إضافية على الويب المظلم”.
“سنواصل العمل مع المتخصصين في الأمن السيبراني لفحص ماهية هذه المواد وسنتصل بمستخدمينا لإبلاغهم بالخطوات العملية التي قد يحتاجون إلى اتخاذها.”
وقال رولي كيتنغ، الرئيس التنفيذي للمكتبة البريطانية: “نحن نقدر أن هذا وقت مقلق لمستخدمينا وشركائنا، ونشعر بالامتنان الشديد لصبرهم ودعمهم بينما نعمل على مدار الساعة لفهم تأثير هذا الهجوم الإجرامي”.
“من السابق لأوانه تقديم جدول زمني محدد ولكننا سنقدم تحديثات منتظمة وإرشادات احترازية لمستخدمينا بينما نعمل على تحديد ما يتعين علينا القيام به لاستعادة أنظمة المكتبة عبر الإنترنت بطريقة آمنة ومستدامة.”
استفادت المكتبة البريطانية من موجة من حسن النية من مستخدميها على الرغم من المشاكل التي واجهوها في الوصول إلى الخدمات خلال الشهر الماضي، لكنها ستواجه الآن تحديات إضافية واحتمال حدوث عواقب قانونية أو تنظيمية.
لقد أبلغت بالفعل مكتب مفوض المعلومات (ICO) بالتزاماتها القانونية، وتعمل على نطاق واسع مع شرطة العاصمة في لندن وفرق من المركز الوطني للأمن السيبراني.
جيك مور، مستشار الأمن السيبراني العالمي في إسيتوعلق قائلاً: “إن حجم الهجوم على المكتبة البريطانية يسلط الضوء على أهمية التحسين المستمر في ممارسات الأمن السيبراني لمكافحة مثل هذه الهجمات المتطورة بشكل فعال. ويؤكد طول الفترة الزمنية التي أثر فيها هذا على المنظمة ومستخدميها أيضًا كيف تكافح الشركات في أعقاب الهجوم.
“يتأثر أيضًا استخدام كلمات المرور الفريدة ويكون ملحوظًا عندما تُترك المكتبة البريطانية لتذكير الأشخاص بتغيير كلمات المرور الخاصة بهم للمواقع الأخرى التي قد تتأثر أيضًا.”
وأضاف مور: “الآن أصبحت البيانات المسروقة موجودة على شبكة الإنترنت المظلمة، وسيكون من المستحيل إزالتها، لذا فإن عملية التنظيف تتضمن العمل مع السلطات بالإضافة إلى إبلاغ المتضررين بأفضل الممارسات للمضي قدمًا. الأمر الإيجابي الصغير الذي يمكن أن يأتي من هذا الهجوم هو أن هناك الآن أمل في أن تخشى المنظمات الأخرى من احتمال حدوث ذلك لهم بنفس السهولة، وبالتالي ستعمل على تحسين حمايتهم حيثما أمكن ذلك.
ريسيدا: تهديد عشوائي
Rhysida، التي ظهرت في وقت سابق من عام 2023 وأخذت علامتها التجارية من جنس المئويات الأصلية في الهند وجنوب شرق آسيا وأستراليا، هي عملية تعتمد على برامج الفدية كخدمة (RaaS) وتتخذ نهجًا عشوائيًا إلى حد ما في عملها.
بحسب وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، تؤثر المجموعة على “أهداف الفرص” وقد حققت نجاحًا في قطاعات تشمل التعليم والحكومة والرعاية الصحية وتكنولوجيا المعلومات والتصنيع.
إنه يستغل في الغالب الخدمات البعيدة الخارجية للوصول إلى شبكات أهدافه وإنشاء موطئ قدم لها، وقد شوهد في كثير من الأحيان وهو يقوم بالمصادقة على نقاط وصول VPN الداخلية باستخدام بيانات اعتماد صالحة مخترقة، في الحالات التي لم يول فيها الضحايا اهتمامًا كافيًا بنظافة بيانات الاعتماد.
وقد شوهد أيضًا استغلالًا CVE-2020-1472، أو Zerologon، وهو خلل في تصعيد الامتيازات في بروتوكول Microsoft NetLogon البعيد والذي تم وصفه عند الكشف عنه على أنه ثغرة أمنية “شبه مثالية” من حيث تأثيره.
مثل كثيرين آخرين، المجموعة منتهكة متحمسة ثنائيات العيش خارج الأرض أو LoLBins – الملفات التنفيذية المشروعة التي تمكنه من الاندماج في بيئات ضحاياه وتجنب اكتشافه.
من الممكن، وفقًا لـ CISA، أن تكون للعصابة علاقة ما بعملية برنامج الفدية Vice Society التي اكتسبت سمعة سيئة واستهدافها المستمر للمدارس والكليات.
