La Bibliothèque publique de Toronto (TPL) a confirmé que les informations personnelles d’employés, de clients, de bénévoles et de donateurs ont été volées sur un serveur de fichiers compromis lors d’une attaque de ransomware en octobre.
Selon TPL, les attaquants ont volé « un grand nombre de fichiers sur un serveur de fichiers » contenant des données des employés de la Bibliothèque publique de Toronto (TPL) et de la Fondation des bibliothèques publiques de Toronto (TPLF), remontant à 1998.
« Des informations relatives à ces personnes ont probablement été saisies, notamment leur nom, leur numéro d’assurance sociale, leur date de naissance et leur adresse personnelle. Des copies des documents d’identité émis par le gouvernement fournis à TPL par le personnel ont également probablement été saisies », a indiqué la bibliothèque dans un communiqué. son rapport d’incident.
« Nos bases de données de titulaires de cartes et de donateurs ne sont pas affectées. Cependant, certaines données de clients, de bénévoles et de donateurs qui résidaient sur le serveur de fichiers compromis peuvent avoir été exposées. »
La bibliothèque n’a pas encore révélé quelles données client ont été volées ni combien de clients ont été concernés par la violation de données.
TPL affirme n’avoir pas payé de rançon après l’attaque et travaille avec des experts externes en cybersécurité pour enquêter sur l’incident. L’entreprise a également signalé la violation au commissaire à l’information et à la protection de la vie privée de l’Ontario et a déposé un rapport auprès de la police de Toronto.
En tant que plus grand réseau de bibliothèques publiques au Canada, TPL fonctionne avec un budget de plus de 200 millions de dollars, compte 1 200 000 membres inscrits et donne accès à 12 millions de livres dans 100 succursales de bibliothèques à travers la ville.
Attaque du rançongiciel Black Basta
Bien que la bibliothèque n’ait pas encore attribué l’attaque à une opération de ransomware spécifique, Breachtrace a appris que le gang de ransomware Black Basta était à l’origine de l’attaque du 28 octobre après avoir vu une photo d’une demande de rançon affichée sur un poste de travail TPL.
Comme l’a déclaré un employé de TPL à Breachtrace , l’attaque s’est produite dans la nuit du 27 octobre, perturbant de nombreux services samedi matin.
On nous a également indiqué que l’attaque avait eu un impact minime sur les services de messagerie de TPL et n’avait pas affecté le système téléphonique de la bibliothèque. Alors que les employés connectés à leurs comptes Office 365 pouvaient toujours accéder à leurs e-mails, ceux qui étaient déconnectés ne pouvaient pas accéder à leurs comptes de messagerie.
Les serveurs principaux de l’organisation (hébergeant les données sensibles) n’étaient pas non plus cryptés, ce qui laisse penser que les opérateurs de Black Basta n’avaient pas un accès complet aux réseaux et aux données de la bibliothèque.
Par mesure de précaution pour empêcher la propagation du logiciel malveillant, TPL a fermé tous les autres systèmes internes après la détection de l’attaque.
Black Basta est apparu comme une opération Ransomware-as-a-Service (RaaS) en avril 2022, avec des attaques de double extorsion ciblant de nombreuses entreprises.
Après que le gang du ransomware Conti ait cessé ses activités en juin 2022 à la suite d’une séquence de violations de données humiliantes, le syndicat de la cybercriminalité s’est fragmenté en factions plus petites, dont l’une est présumée être Black Basta.
« Le ciblage prolifique d’au moins 20 victimes par le groupe menaçant au cours de ses deux premières semaines d’activité indique qu’il est expérimenté dans le domaine des ransomwares et qu’il dispose d’une source d’accès initiale stable », a déclaré l’équipe de sécurité du ministère de la Santé et des Services sociaux en mars.
« Le niveau de sophistication de ses opérateurs de ransomware compétents et sa réticence à recruter ou à faire de la publicité sur les forums du Dark Web expliquent pourquoi beaucoup soupçonnent le nouveau Black Basta d’être même une nouvelle marque du groupe de menace russophone RaaS Conti, ou également lié à d’autres. Groupes de cybermenaces russophones.
De plus, Black Basta a été lié au groupe de piratage FIN7, un groupe de cybercriminalité bien connu à motivation financière.
Depuis son apparition, le gang de ransomwares russophones a piraté et extorqué un large éventail de victimes de premier plan, notamment l’American Dental Association, Sobeys, Knauf, Pages Jaunes Canada, la société d’externalisation britannique Capita, l’entrepreneur allemand de défense Rheinmetall, et la plupart. récemment, l’entrepreneur du gouvernement américain ABB.