Южная Америка

Кибератака на ПАМИ: установлено, что хакеры требуют выкуп в размере 735 000 долларов США за данные пяти миллионов пользователей

Новости Аргентины
После компьютерной атаки на PAMI, произошедшей более двух недель назад, информация, которая, как утверждала организация социального обеспечения пенсионеров, была "надежно защищена", выставлена на продажу в "темной паутине" - той части Интернета, которая благоприятствует подобным криминальным операциям в силу анонимности. Речь идет о миллионах конфиденциальных данных, которые в будущем сделают уязвимыми около пяти миллионов членов, врачей общей практики и других поставщиков услуг. "Рано утром в воскресенье группа Rhysida опубликовала в "темной паутине" свое предложение, в рамках которого она также требует выкуп: 25 биткоинов, эквивалентных 735 000 долларов США, в обмен на "эксклюзивные, уникальные и впечатляющие данные" из Национального института социального обслуживания пенсионеров (Inssjp)". "Откройте свои кошельки и будьте готовы купить эксклюзивную информацию. Мы продаем только одному, никаких перепродаж, вы будете единственным владельцем!", - пропагандирует группа, совершившая атаку, в блоге, где она обычно распространяется, список жертв, характеристики имеющегося материала и его стоимость. Именно таким образом они вели переговоры о выкупе файлов, похищенных из Национальной комиссии по ценным бумагам (CNV) в июне прошлого года. Начальная цена в биткоинах была эквивалентна 500 000 долларов США, что меньше, чем у PAMI. В течение недели они открыли доступ к 1,5 терабайтам данных. "Оплата в таких условиях не гарантирует, что информация, которую распространяют эти группы или те, кто их нанимает, не будет распространена", - поясняет Габриэль Зурдо, генеральный директор компании BTR Consulting, специализирующейся на кибербезопасности и рисках. Команда, которая с 2021 г. координирует реагирование на кибератаки в органах государственного управления в рамках Национального центра реагирования на компьютерные инциденты (Cert.ar), также не советует этого делать. "Оплата не гарантирует повторного доступа к данным", - говорится на сайте Национального центра реагирования на компьютерные инциденты (Cert.ar). Он может подвергнуться дальнейшим атакам, поскольку известно, что он готов платить", - перечисляют они в качестве обоснования. Средства от этого платежа могут быть использованы для финансирования незаконной деятельности, такой как терроризм, торговля людьми, нелегальная продажа оружия и т.д. После оплаты они могут запросить более высокую сумму. Они могли сделать копию данных перед их шифрованием, что не гарантирует отсутствие вымогательства или утечки данных в будущем. Более того, такой платеж может быть незаконным для государства. "В эти выходные Зурдо и его команда обнаружили требование Rhysida о выкупе. Фирма осуществляет мониторинг угроз для своих клиентов (она работает в 40 странах) и располагает лабораторией для измерения, исследования и оценки последствий таких вторжений. Согласно опубликованному списку компьютерных "жертв", PAMI стала еще одним источником из более чем 1300 государственных учреждений, подвергшихся взлому в стране. PAMI отрицала LA NACIÓN факт получения требования о выкупе после того, как 12 дней назад стало известно о взломе ее серверов. Сегодня на повторный вопрос, поступивший на момент сдачи материала в печать, учреждение не ответило: "В предыдущих атаках, будь то в государственном или частном секторе, всегда проводились переговоры перед публикацией в темной паутине. Это, по мнению специалиста по информационной безопасности, форма давления за отказ платить. "Маловероятно, что у них нет того, что они предлагают в доказательство жизни, ведь именно так они поддерживают свою репутацию и надежность", - говорит Зурдо об атаке на социальное обеспечение. Это предположение приобретает силу еще и потому, что в аналогичных случаях вторжение пресекалось в течение 24-48 часов, если оно не приносило слишком большого ущерба. "Кибератака начинается задолго до того, как о ней становится известно. Преступники со временем устанавливают в местах хранения информации компьютерные инструменты для ее шифрования, поэтому предполагается, что вторжение в PAMI, учитывая объем данных, хранящихся на ее серверах, началось гораздо раньше. "Шлюзом" стало электронное письмо, полученное одним из пользователей системы. В таких случаях через вложение или ссылку, которую сообщение призывает открыть или перейти, происходит загрузка этих инструментов. Сначала они делают копию добытой информации, а затем шифруют все данные на серверах для перехвата. С этого момента начинаются переговоры, утверждают специалисты по ИТ-безопасности, с которыми консультировалась компания медицинского страхования, приписывая падение своих онлайн-сервисов и национальной системы отслеживания лекарственных средств и медицинских изделий программе-вымогателю типа Rhysida. "Все эти преступные группы являются предметом криминалистического анализа, чтобы понять, какие программы используются, каков вектор атаки, какую уязвимость они эксплуатируют и т.д. Он генерирует отчет об индикаторах компрометации, в котором подробно описывается состояние ИТ-системы", - продолжил Зурдо, рассказывая о работе лаборатории. В этих анализах общим фактором для "жертв" атаки является попытка ее скрыть". "Необходимо немедленно принять превентивные меры: повысить осведомленность о том, как избежать мошенничества сейчас, в условиях определенного риска распространения персональных данных. Возможности использования таких данных и превращения их реальных владельцев в будущих жертв бесчисленны. Чтобы свести это к минимуму, необходимы дополнительные меры контроля", - сказал он. Во время пандемии Covid-19 мы увидели смещение фокуса внимания с этих банд". "Исторически, - перечисляет он, - торговля данными была сосредоточена на банках и страховании, энергетике (особенно нефтяной) и правительствах. Теперь это еще и здравоохранение, и образование. Именно эта информация оказала наибольшее влияние на людей в разгар пандемии", - пояснил Зурдо. В такого рода данных заинтересованы преступные группировки. Если человек чувствует себя плохо, должен соблюдать терапевтический режим или контроль, а у него нет доступа или смены, или доступной услуги, все нарушается, и это создает давление, которое используют эти банды. Это глобальное явление, которое развивается гораздо быстрее, чем государства способны защитить себя. То, что произошло в PAMI, - это утечка информации, которая подвергает опасности мошенничества в будущем как пользователей, так и провайдеров.
Телеграм-канал "Новоcти Аргентины"


Релокация в Уругвай: Оформление ПМЖ, открытие банковского счета, аренда и покупка жилья