Le Hawaiʻi Community College a admis avoir payé une rançon aux acteurs du ransomware pour empêcher la fuite des données volées d’environ 28 000 personnes.
Hawaiʻi Community College est un collège communautaire public accrédité qui gère deux campus sur l’île d’Hawaï et fait partie de l’Université d’Hawai’i (UH), qui compte plus de 50 000 étudiants.
Le 19 juin 2023, le gang de rançongiciels NoEscape, relativement nouveau, a répertorié UH sur son portail d’extorsion, menaçant de publier 65 Go de données volées en une semaine si une rançon n’était pas payée.
Un jour plus tard, le Collège a confirmé avoir subi une attaque de rançongiciel le 13 juin 2023, avertissant les étudiants et les professeurs qu’ils fermaient les systèmes informatiques pour empêcher la propagation du logiciel malveillant.
Comme UH l’a expliqué dans l’annonce pertinente publiée mercredi, elle a soigneusement examiné toutes les options et a décidé de payer les cybercriminels pour protéger les données personnelles de milliers de ses étudiants.
« Après avoir déterminé que les données compromises contenaient très probablement des informations personnelles d’environ 28 000 personnes, l’Université d’Hawaï a pris la décision difficile de négocier avec les acteurs de la menace afin de protéger les personnes dont les informations sensibles auraient pu être compromises », a expliqué UH dans un déclaration publique plus tôt cette semaine.
L’université explique en outre qu’un élément qui a joué un rôle clé dans sa décision était que les pirates responsables de l’attaque, NoEscape, sont connus pour divulguer les données personnelles d’individus volés sur des réseaux piratés si une demande de rançon n’est pas payée.
« En travaillant avec une équipe externe d’experts en cybersécurité, UH a conclu un accord avec les acteurs de la menace pour détruire toutes les informations obtenues illégalement », a poursuivi l’annonce de l’UH.
Après le paiement d’une rançon, le gang de rançongiciels a supprimé l’entrée de l’Université d’Hawaï de leur site de fuite de données, ce qui est généralement fait après avoir payé la demande d’extorsion.
Pendant ce temps, la restauration de l’infrastructure informatique endommagée est toujours en cours, probablement maintenant prise en charge par une clé de déchiffrement fournie par NoEscape, et devrait être achevée d’ici le 14 août 2023.
Les 28 000 étudiants et membres du personnel touchés par l’attaque recevront des lettres de notification avec des instructions jointes sur l’inscription aux services de surveillance du crédit et de protection contre le vol d’identité via Experian.
Enfin, pour éviter que des attaques similaires ne se reproduisent à l’avenir, UH travaille avec les dix campus et leurs administrateurs de systèmes informatiques pour combler les vulnérabilités potentielles et mettre en œuvre des mesures de sécurité supplémentaires.
Malheureusement, payer une rançon pour empêcher la fuite de données ne se passe pas toujours comme prévu.
Dans le passé, les acteurs de la menace ont promis de détruire les données mais n’ont pas tenu parole, continuant à extorquer les victimes ou à divulguer les données.
Bien qu’il n’y ait aucun historique de l’opération NoEscape faisant cela, tous les étudiants et professeurs doivent agir en supposant que leurs données ont été exposées et réagir en conséquence.
Selon les données publiées, cela pourrait signifier surveiller les rapports de solvabilité pour le vol d’identité, changer les mots de passe des comptes sensibles ou être plus diligent lors de l’ouverture d’e-mails suspects.
Qui est NoEscape ?
L’opération de ransomware NoEscape est un nouveau projet lancé le mois dernier, ciblant les serveurs Windows, Linux et VMware ESXi et effectuant une double extorsion sur les victimes.
Breachtrace a appris que les acteurs de la menace avaient exigé des rançons pouvant atteindre 10 millions de dollars, mais le montant payé par UH n’a pas encore été révélé.
L’analyste des ransomwares Michael Gillespie a trouvé de nombreuses similitudes entre les chiffreurs NoEscape et Avaddon, une opération RaaS qui a brusquement arrêté les opérations à l’été 2021 suite à l’attention accrue des forces de l’ordre.
C’est un signe fort que NoEscape pourrait être une nouvelle image d’Avaddon, créée par l’équipe principale de l’opération de ransomware aujourd’hui disparue.