Το Port of Seattle, η κυβερνητική υπηρεσία των Ηνωμένων Πολιτειών που επιβλέπει το λιμάνι και το αεροδρόμιο του Σιάτλ, επιβεβαίωσε την Παρασκευή ότι η επιχείρηση ransomware Rhysida βρισκόταν πίσω από μια κυβερνοεπίθεση που έπληξε τα συστήματά της τις τελευταίες τρεις εβδομάδες.
Η υπηρεσία αποκάλυψε στις 24 Αυγούστου ότι η επίθεση την ανάγκασε να απομονώσει ορισμένα από τα κρίσιμα συστήματά της για να περιορίσει τον αντίκτυπο. Η προκύπτουσα διακοπή πληροφορικής διέκοψε τα συστήματα check-in κρατήσεων και καθυστέρησε τις πτήσεις στο Διεθνές Αεροδρόμιο Seattle-Tacoma.
Σήμερα, τρεις εβδομάδες μετά την αρχική αποκάλυψη, το λιμάνι επιβεβαίωσε επίσημα ότι η παραβίαση του Αυγούστου ήταν μια επίθεση ransomware που συντονίστηκε από θυγατρικές εταιρείες ransomware της Rhysida.
“Αυτό το περιστατικό ήταν μια επίθεση “ransomware” από την εγκληματική οργάνωση γνωστή ως Rhysida. Δεν υπήρξε καμία νέα μη εξουσιοδοτημένη δραστηριότητα στα συστήματα λιμένων από εκείνη την ημέρα. Παραμένει ασφαλές να ταξιδέψετε από το Διεθνές Αεροδρόμιο Seattle-Tacoma και να χρησιμοποιήσετε τις θαλάσσιες εγκαταστάσεις του Λιμένα του Σιάτλ “αυτό είπε σε δελτίο τύπου.
«Η έρευνά μας διαπίστωσε ότι ο μη εξουσιοδοτημένος ηθοποιός μπόρεσε να αποκτήσει πρόσβαση σε ορισμένα μέρη των συστημάτων υπολογιστών μας και ήταν σε θέση να κρυπτογραφήσει την πρόσβαση σε ορισμένα δεδομένα».
Η απόφαση του λιμανιού να θέσει τα συστήματα εκτός σύνδεσης και η συμμορία ransomware που κρυπτογραφούσε εκείνα που δεν ήταν απομονωμένα εγκαίρως προκάλεσε διακοπές που επηρεάζουν πολλές υπηρεσίες και συστήματα, όπως αποσκευές, κιόσκια check-in, έκδοση εισιτηρίων, Wi-Fi, πίνακες προβολής επιβατών, το λιμάνι του Σιάτλ ιστοσελίδα, την εφαρμογή flySEA και δεσμευμένο πάρκινγκ.
Ενώ το λιμάνι έχει ήδη επαναφέρει τα περισσότερα επηρεαζόμενα συστήματα στο διαδίκτυο εντός της εβδομάδας, εξακολουθεί να εργάζεται για την επαναφορά άλλων βασικών υπηρεσιών, όπως ο ιστότοπος Port of Seattle, το SEA Visitor Pass, οι χρόνοι αναμονής TSA και η πρόσβαση στην εφαρμογή flySEA (εκτός εάν έχουν γίνει λήψη πριν από το ransomware του Αυγούστου επίθεση).
Το λιμάνι αποφάσισε επίσης να μην ενδώσει στις απαιτήσεις της συμμορίας ransomware να πληρώσει για έναν αποκρυπτογραφητή, παρόλο που οι επιτιθέμενοι πιθανότατα θα δημοσιεύσουν δεδομένα που είχαν κλαπεί στα μέσα έως τα τέλη Αυγούστου στον ιστότοπό τους με διαρροή σκοτεινού ιστού.
«Το λιμάνι του Σιάτλ δεν έχει πρόθεση να πληρώσει τους δράστες πίσω από την κυβερνοεπίθεση στο δίκτυό μας», δήλωσε ο Στιβ Μέτροκ, Εκτελεστικός Διευθυντής του Λιμένα του Σιάτλ. «Η πληρωμή της εγκληματικής οργάνωσης δεν αντικατοπτρίζει τις αξίες του λιμανιού ή τη δέσμευσή μας να είμαστε καλός διαχειριστής των δολαρίων των φορολογουμένων».
Το Rhysida είναι μια σχετικά νέα επιχείρηση ransomware-as-a-service (RaaS) που εμφανίστηκε τον Μάιο του 2023 και γρήγορα κέρδισε τη φήμη μετά την παραβίαση της Βρετανικής Βιβλιοθήκης και του Χιλιανού Στρατού (Ejército de Chile).
Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) συνέδεσε το Rhysida με επιθέσεις εναντίον οργανισμών υγειονομικής περίθαλψης. Ταυτόχρονα, η CISA και το FBI προειδοποίησαν ότι αυτή η συμμορία του εγκλήματος στον κυβερνοχώρο βρισκόταν πίσω από πολλές ευκαιριακές επιθέσεις που στοχεύουν θύματα σε ένα ευρύ φάσμα άλλων βιομηχανικών τομέων.
Για παράδειγμα, τον Νοέμβριο, η Rhysida παραβίασε τη θυγατρική της Sony, Insomniac Games και διέρρευσε 1,67 TB εγγράφων στον σκοτεινό ιστό, αφού το στούντιο παιχνιδιών αρνήθηκε να πληρώσει λύτρα 2 εκατομμυρίων δολαρίων.
Οι θυγατρικές της έχουν επίσης παραβιάσει την πόλη του Κολόμπους του Οχάιο, MarineMax (η μεγαλύτερη εταιρεία λιανικής πώλησης σκαφών αναψυχής και γιοτ στον κόσμο) και το Σύστημα Υγείας Singing River. Ο τελευταίος προειδοποίησε σχεδόν 900.000 άτομα ότι τα δεδομένα τους ήταν κλάπηκε σε επίθεση ransomware Rhysida τον Αύγουστο του 2023.
VIA: bleepingcomputer.com
