O grupo de ransomware Avos sequestrou o sistema de transmissão de emergência da Bluefield University, o "RamAlert", para enviar mensagens SMS e alertas por email aos alunos e funcionários de que seus dados haviam sido roubados e seriam em breve divulgados.
A Bluefield University é uma pequena universidade privada em Bluefield, Virgínia, com cerca de 900 alunos.
Em 30 de abril, a Universidade informou aos alunos e funcionários que sofreu um ciberataque que afetou os sistemas de TI, fazendo com que todas as avaliações fossem adiadas.
Na época, a Universidade afirmou que sua investigação não havia encontrado evidências de fraude financeira ou roubo de identidade relacionados a este incidente.
"A faculdade e os alunos podem usar e acessar com segurança o MyBU, o Canvas e os recursos da biblioteca por meio do site da universidade", explicou a Bluefield University.
No entanto, o incidente tomou um rumo perigoso em 1º de maio de 2023, com os atores de ameaças Avos (também conhecidos como AvosLocker) ainda tendo acesso ao sistema RamAlert da Universidade, um sistema de alerta de emergência usado para avisar os alunos e funcionários por e-mail e mensagem de texto de emergências ou ameaças no campus.
Conforme relatado pela primeira vez pela WVVA, o grupo de ransomware usou o sistema RamAlert para enviar alertas por SMS e e-mail avisando que dados pessoais foram roubados e seriam divulgados se a Bluefield University não pagasse o resgate exigido.
"Olá alunos da Bluefield University! Somos o ransomware Avoslocker.
Invadimos a rede da universidade para extrair arquivos de 1,2 TB", dizia um dos alertas aos alunos e funcionários.
"Temos dados de admissão de milhares de alunos.
Suas informações pessoais estão em risco de serem vazadas no blog darkweb."
"NÃO PERMITA que a Universidade minta sobre a gravidade do ataque! Como prova, vazamos amostras em segunda-feira, 1º de maio de 2023, às 18:00:00 GMT (14:00:00)"
Alertas adicionais compartilharam links e instruções sobre como acessar o site de vazamento de dados do grupo de ransomware para ver mais mensagens sobre o ataque e quaisquer dados vazados.
A última mensagem entregue por meio do sistema RamAlert sequestrado instou os destinatários a compartilhar as informações com as agências de notícias e ameaçou publicar todos os dados roubados se a Universidade não pagasse o resgate.
Mais tarde naquele dia, o grupo de ransomware divulgou uma quantidade limitada de dados roubados, incluindo um formulário fiscal W-2 para o presidente da Universidade e um documento relacionado à sua apólice de seguro.
O uso do sistema de alertas de emergência provavelmente tem como objetivo impedir que a administração da Universidade minimize o impacto do ciberataque ou afirme que nenhum dado foi roubado, aumentando essencialmente a pressão de extorsão sobre a instituição educacional.
A Bluefield University publicou uma atualização sobre o ciberataque, informando aos alunos e funcionários que os esforços de remediação e restauração do sistema ainda estão em andamento e que ainda não encontraram evidências de abuso de dados dos alunos.
No entanto, a instituição educacional admitiu que seu sistema de alertas de emergência havia sido hackeado e pediu às pessoas contatadas pelos criminosos cibernéticos que não clicassem em nenhum link ou respondessem a essas mensagens.
Os grupos de ransomware têm usado vários métodos para aumentar a pressão sobre suas vítimas com extorsão dupla e tripla, incluindo ligar para seus parceiros, enviar e-mails para seus clientes, competidores ou estabelecer portais de vazamento de dados com recursos de busca.
O sequestro de um sistema de alertas de emergência parece ser um método de extorsão novo.
Embora possa ser um caso oportunista, mostra até onde os atores de ransomware vão para ampliar sua chantagem.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...