A Biblioteca Pública de Toronto confirma dados roubados em ataque de ransomware
16 de Novembro de 2023

A Biblioteca Pública de Toronto (TPL) confirmou que as informações pessoais de funcionários, clientes, voluntários e doadores foram roubadas de um servidor de arquivos comprometido durante um ataque de ransomware em outubro.

De acordo com a TPL, os invasores roubaram "um grande número de arquivos de um servidor de arquivos" contendo dados da Biblioteca Pública de Toronto (TPL) e dos funcionários da Fundação da Biblioteca Pública de Toronto (TPLF), retroagindo a 1998.

"As informações relacionadas a essas pessoas provavelmente foram levadas, incluindo seu nome, número de seguro social, data de nascimento e endereço residencial.

Cópias de documentos de identificação emitidos pelo governo fornecidos à TPL pelo pessoal também provavelmente foram roubados", disse a biblioteca em uma atualização de seu relatório de incidente.

"Nossos bancos de dados de detentores de cartões e doadores não são afetados.

No entanto, alguns dados de clientes, voluntários e doadores que residiam no servidor de arquivos comprometido podem ter sido expostos."

A biblioteca ainda não divulgou quais dados do cliente foram roubados e quantos clientes foram afetados pela violação de dados.

A TPL diz que não pagou um resgate após o ataque, e está trabalhando com especialistas externos em segurança cibernética para investigar o incidente.

Também denunciou a violação ao Comissário de Informação e Privacidade de Ontário e apresentou um relatório à Polícia de Toronto.

Como o maior sistema de bibliotecas públicas do Canadá, a TPL opera com um orçamento superior a $200 milhões, possui uma base de membros de 1.200.000 pessoas registradas e fornece acesso a 12 milhões de livros em 100 bibliotecas filiais por toda a cidade.

Embora a biblioteca ainda não tenha atribuído o ataque a uma operação específica de ransomware, o BleepingComputer descobriu que a gangue de ransomware Black Basta estava por trás do ataque de 28 de outubro, após ver uma foto de um recado de resgate mostrado em um terminal de trabalho da TPL.

Conforme um funcionário da TPL disse ao BleepingComputer, o ataque ocorreu durante a noite de 27 de outubro, interrompendo vários serviços até a manhã de sábado.

Fomos também informados de que o ataque teve um impacto mínimo nos serviços de email da TPL e não afetou o sistema telefônico da biblioteca.

Enquanto os funcionários que fizeram login em suas contas do Office 365 ainda podiam acessar seus emails, aqueles que foram desconectados não podiam acessar suas contas de email.

Os servidores principais da organização (que abrigam dados sensíveis) também não foram criptografados, sugerindo que os operadores do Black Basta não tiveram acesso total às redes e dados da biblioteca.

Como medida de precaução para impedir a propagação do malware, a TPL desligou todos os outros sistemas internos após a detecção do ataque.

​O Black Basta surgiu como uma operação de Ransomware-as-a-Service (RaaS) em abril de 2022, com ataques de extorsão em dobro visando muitas entidades corporativas.

Após a gangue de ransomware Conti ter parado de operar em junho de 2022, após uma sequência de violações de dados humilhantes, o sindicato do cibercrime se fragmentou em facções menores, uma das quais é suposta ser o Black Basta.

"O grupo ameaçador, que visou pelo menos 20 vítimas nas duas primeiras semanas de operação, indica que é experiente em ransomware e tem uma fonte constante de acesso inicial", disse a equipe de segurança do Departamento de Saúde e Serviços Humanos dos EUA em março.

"O nível de sofisticação dos proficientes operadores de ransomware e a relutância em recrutar ou anunciar em fóruns da Dark Web, apoiado por muitos que suspeitam que o nascente Black Basta possa ser uma rebranding do grupo ameaça russa RaaS, Conti, ou até mesmo ligado a outros grupos de ciberameaça russos."

Além disso, o Black Basta foi associado ao grupo hacker FIN7, um conhecido grupo de cibercrime com motivos financeiros.

Desde o seu aparecimento, a gangue de ransomware que fala russo violou e extorquiu uma variedade de vítimas de alto perfil, incluindo a Associação Odontológica Americana, Sobeys, Knauf, Yellow Pages Canada, a empresa de terceirização do Reino Unido Capita, o empreiteiro de defesa alemão Rheinmetall e, mais recentemente, o empreiteiro do governo dos EUA, o ABB.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...