Το Newcastle University, το ερευνητικό πανεπιστήμιο του Ηνωμένου Βασιλείου, δήλωσε ότι η ομάδα που βρίσκεται πίσω από το DoppelPaymer ransomware παραβίασε το δίκτυό του, με αποτέλεσμα τα συστήματά του να τεθούν εκτός σύνδεσης το πρωί της 30ης Αυγούστου. Το πανεπιστήμιο πρόσθεσε ακόμη, πως θα χρειαστούν πολλές εβδομάδες για να επανέλθουν οι IT υπηρεσίες του μετά το hack. Η επίθεση διερευνάται από την βρετανική αστυνομία και την Εθνική Υπηρεσία Εγκλήματος, σε συνεργασία με την IT Υπηρεσία του Newcastle University.
Πιο συγκεκριμένα, το πανεπιστήμιο ανακοίνωσε ότι την Κυριακή 30 Αυγούστου 2020, ανακάλυψε πως έλαβε χώρα σε αυτό ένα σοβαρό hack, το οποίο διατάραξε τη λειτουργία των δικτύων και των IT συστημάτων του. Έτσι, όλα τα πανεπιστημιακά συστήματα, με εξαίρεση αυτά που αναφέρονται στις επικοινωνίες (Office365 – συμπεριλαμβανομένων των email και του Teams, του Canvas και του Zoom) είτε δεν είναι διαθέσιμα είτε είναι διαθέσιμα με περιορισμούς. Το Newcastle University δεν έχει ακόμη αποφασίσει εάν θα γίνει επαναφορά των κωδικών πρόσβασης λογαριασμών, αλλά λέει ότι μπορεί να το κάνει βασιζόμενο στις εσωτερικές ομάδες υποστήριξης και στις συστάσεις ειδικών συμβούλων.
Η έρευνα για το hack βρίσκεται ακόμη σε πρώιμο στάδιο. Οι IT ομάδες συνεχίζουν να εργάζονται σκληρά για την επαναφορά των συστημάτων και να συνεργάζονται με την αστυνομία και την Εθνική Υπηρεσία Εγκλήματος κατά τις έρευνές τους. Ωστόσο, δεν είναι δυνατή η κοινοποίηση περισσότερων λεπτομερειών σχετικά με το συμβάν, έως ότου ολοκληρωθεί αυτή η αρχική έρευνα. Το ICO και το Office for Students ενημερώθηκαν εντός 72 ωρών από τον εντοπισμό του hack, όπως τόνισε εκπρόσωπος του πανεπιστημίου.
Σύμφωνα με το πανεπιστήμιο, αυτήν τη στιγμή, πολλές από τις IT υπηρεσίες του βρίσκονται εκτός σύνδεσης και θα παραμείνουν εκτός λειτουργίας, ενώ αυτές που λειτουργούν θα μπορούσαν να καταργηθούν χωρίς προειδοποίηση, κατά τη διάρκεια των προσπαθειών ανάκαμψης.
Το Newcastle University πρόσθεσε επίσης τα ακόλουθα:
- Τα μέλη του πανεπιστημίου ενδέχεται να χάσουν την πρόσβαση στους IT λογαριασμούς τους χωρίς ειδοποίηση και ενδέχεται να μην ενεργοποιηθούν ξανά γρήγορα.
- Το πανεπιστήμιο μπορεί να χρειαστεί πρόσβαση σε οποιοδήποτε IT σύστημα που διατηρούν ή χρησιμοποιούν τα μέλη του.
- Ίσως χρειαστεί να αφαιρεθούν υπολογιστές, servers ή άλλες συσκευές, αν διαπιστωθεί ότι επηρεάζονται, προκειμένου να διεξαχθούν λεπτομερείς έρευνες.
Κατά τη διάρκεια των τρεχουσών ερευνών, οι μαθητές και οι υπάλληλοι θα έχουν πρόσβαση μόνο σε περιορισμένες IT υπηρεσίες, συμπεριλαμβανομένων των Office365 (email, εφαρμογές Office και Teams comm channels), βασικών υπηρεσιών SAP και του Zoom. Το πανεπιστήμιο συμβούλεψε επίσης τους φοιτητές και το προσωπικό να αντιγράψουν βασικά αρχεία από τον κοινόχρηστο δίσκο του πανεπιστημίου στους λογαριασμούς τους στο OneDrive.
Αφότου το Newcastle University ανέφερε ότι υπέστη hacking επίθεση, οι χειριστές του DoppelPaymer ransomware ανέλαβαν την ευθύνη για το περιστατικό. Κοινοποίησαν επίσης κλεμμένα δεδομένα αξίας 750Kb ως απόδειξη στον ιστότοπο διαρροής δεδομένων “Dopple Leaks”, μια τακτική που έχουν υιοθετήσει από το Maze Ransomware, από τον Φεβρουάριο του 2020.
Το DoppelPaymer είναι μια λειτουργία ransomware που είναι γνωστή για την επίθεση σε εταιρείες από τουλάχιστον τα μέσα Ιουνίου 2019, αποκτώντας πρόσβαση σε admin credentials και χρησιμοποιώντας τα για να θέσει σε κίνδυνο ολόκληρο το δίκτυο για να αναπτύξει ransomware payloads σε όλες τις συσκευές. Είναι επίσης γνωστό ότι ζητούν μεγάλα ποσά λύτρων, αφού οι επιθέσεις τους κρυπτογραφούν εκατοντάδες ή ακόμη και χιλιάδες συστήματα στα δίκτυα των θυμάτων τους.
Τον Νοέμβριο του 2019, η κρατική εταιρεία πετρελαίου του Μεξικού PEMEX (Petróleos Mexicanos) υπέστη επίθεση από το DoppelPaymer ransomware, με τη συμμορία να ζητά bitcoin αξίας 4,9 εκατομμυρίων δολαρίων ως λύτρα για την αποκρυπτογράφηση αρχείων. Το DoppelPaymer πήρε το όνομά του από το BitPaymer, με το οποίο μοιράζεται μεγάλα τμήματα κώδικα, αλλά οι χειριστές του έχουν προσθέσει πολλές αναβαθμίσεις στο malware για ταχύτερη λειτουργία.
