Неделю назад Маастрихтский университет (UM) сообщил об атаке криптовымогателя Clop — вируса, шифрующего файлы на компьютерах и предлагающего купить ключ для их дешифровки.
Как только факт атаки был обнаружен, университет перевёл все свои системы в оффлайн и подал в полицию заявление о взломе.
Согласно последним данным, за атакой почти наверняка стоит российская хакерская группировка TA505.
Атака криптовымогателя
В своём сегодняшнем сообщении UM утверждает, что все жизненно важные для учебного процесса системы заработают 2 января, а 6 января — первый учебный день после новогодних каникул — уже начнутся занятия.
Поскольку до этого момента студенты университета не будут иметь доступа к учебным материалам, для пересдачи экзаменов будут назначены дополнительные даты.
В настоящий момент на сайте учебного заведения отображается предупреждение:
ВАЖНО! Не пользуйтесь никакими сервисами!
В настоящий момент крайне важно, чтобы студенты и сотрудники не использовали никаких компьютеров или сервисов UM, как внутри университета, так и вне его. Необходимо исключить любые возможные помехи расследованию инцидента, а также работам по восстановлению данных.
Расследование атаки поручено делфтской фирме Fox-IT, специализирующейся на кибербезопасности.
Русский след
Издание De Limburger полагает, что у криптовымогателя русские корни: по меньшей мере, об этом утверждает эксперт по компьютерной безопасности и владелец американской компании Sentinel Labs Виталий Кремез (Vitali Kremez), впервые обнаруживший шифровальщик Clop в феврале 2019 года.
По его данным, стоящая за его созданием хакерская группировка TA505 сознательно выбирает своей целью публичные организации:
Для таких организаций очень важно как можно скорее восстановить зашифрованные данные, поэтому вероятность уплаты выкупа здесь выше. На сегодняшний день не существует технического ответа на вымогательство: способа дешифровать данные без оплаты пока что не найдено.
Оплата должна производиться в биткоинах. Типичная сумма, требуемая вымогателями, составляет 1% от годового оборота организации — в случае UM это около 4,5 млн евро.
Кремез утверждает, что до настоящего времени хакеры всегда присылали ключ для расшифровки после оплаты — как это ни странно звучит, они очень дорожат своей репутацией.
Поскольку в настоящий момент ведётся расследование инцидента, ни университет, ни Fox-IT не дают на этот счёт никаких комментариев. ■
— самого быстрого сокращателя ссылок
Комментарии