Black Basta攻擊已過兩個月 多倫多公共圖書館至今仍是犯罪現場 對外服務將於明年一月逐步恢復?!

Photo Credit: TripWire

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中,Black Basta攻擊限制了其服務,令TPL的運作方式大規模的改變。圖書館人員以手工核對材料,任何退回的書本或物品都無法重新登入系統中,,大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉,無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿,解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示,該圖書館擁有 100 個分館,擁有 5,000 多名員工,其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務,但圖書館的線上帳戶仍然無法使用,公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示,雖然許多圖書館服務仍在繼續運營,但隨著調查的繼續,圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜,我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道,我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求,這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說,家庭、研究人員和其他人告訴圖書館,他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示,儘管遇到了困難,圖書館仍能允許顧客借閱 50 萬個實體資料,仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說,漫長的恢復過程需要幾個月的時間,因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長,但我們期待著全面回歸,」Bowles說。“儘管這些犯罪分子傷害了我們,但他們當然沒有阻止我們履行我們的使命,即提供免費和公平的圖書館服務,以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織,已被用來攻擊全球超過 329 個組織,並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體,Black Basta 沒有採用激進的前端策略,而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前,Conti的線上聊天內容被洩露,暗示其與俄羅斯政府有聯繫,並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現,自 2022 年以來,Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略,先竊取被害者敏感檔案和資訊,並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體,同時也有感染 Windows 系統的版本。此外,許多攻擊都利用 Qakbot(也稱為 QBot)來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年,多個城市圖書館系統面臨攻擊,其中包括涉及大英圖書館(世界上最大的圖書館之一、英國國家圖書館)的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32                

104.194.10.130                      

104.243.38.65                

105.111.60.60