10/04/24
В ходе компрометации хакерам удалось зашифровать компьютеры ведомства, а также якобы похитить конфиденциальные данные.
Об атаке стало известно 14 марта. Примечательно, что специалисты по безопасности обнаружили «на месте преступления» две отдельные записки с требованием выкупа: одну на листе бумаги в принтере от банды вымогателей LockBit и одну в текстовом файле README, помещённую рядом с зашифрованными документами, от банды вымогателей DragonForce.
Команда безопасности была весьма озадачена таким развитием событий, так как не было до конца понятно, кто же всё-таки ответственен за атаку. Однако наиболее вероятным сценарием является банальное использование хакерами DragonForce вымогательского ПО разработки LockBit, в котором они забыли убрать пару строчек кода, пишут в Securitylab.
Ещё более мутным фактом стало то, что в обоих записках Tor-ссылки для связи с хакерами были нерабочими. Это в купе с тем фактом, что атака совпала по времени с церемонией подписания Договора о свободной ассоциации между Палау и правительством США, побудило некоторых считать данную атаку политически мотивированной, но просто замаскированной под вымогательскую операцию
Однако в минувшее воскресенье, 7 апреля, хакеры DragonForce публично опровергли предположения, что атака на Палау имела иной мотив, кроме финансовой выгоды. Группа заявила: «Мы не имеем никакого отношения к политике. В течение трёх дней все данные из Палау будут доступны в нашем блоге. Там можно будет найти весьма интересную информацию». Кроме того, злоумышленники добавили, что суммарно украли у Палау более 21 ГБ данных.
По информации местного правительства, данные из Министерства финансов Палау действительно были украдены, однако ничего чувствительного или важного они не содержали. В крайнем случае хакеры смогут использовать их для целенаправленного фишинга, однако правительство не сильно переживает об этом, считая, что от таких атак можно легко защититься посредством повышения информированности.
В целом, островное государство почти не ощутило на себе последствий киберинцидента, хотя некоторым государственным работникам и пришлось получить свою заработную плату в виде банковского чека, а не привычным переводом или наличными. На полное восстановление зашифрованных компьютеров у местной команды безопасности ушло 5 дней.
