Дайджест кибератак на крупные библиотеки

Кибератаки стали огромной угрозой. Подключение к Сети делает библиотеки привлекательными объектами для кибератак. Инциденты приводят к потере персональных данных читателей и сотрудников, а также к блокировке различных сервисов. Экспертно-аналитический центр InfoWatch подготовил дайджест крупнейших кибератак на библиотеки в последние несколько лет.

Группировка RansomHub недавно заявила об атаке на публичную библиотеку Канкаки в штате Иллинойс. Взломав информационные системы учреждения, злоумышленники скачали 191 ГБ различной информации.  Ранее эти хакеры атаковали сеть библиотек штата Делавэр, используя вирус-вымогатель и потребовали выкуп в размере 1 млн долларов США. Ряд библиотек сообщали о полном или частичном отключении сервисов интернета и печати, не работали компьютерные классы. В ряде случаев отключенными оказались телефоны. Судя по скриншотам, которые разместили злоумышленники, только одна из папок содержала порядка 80 тыс. файлов. По словам представителей библиотек Делавэра, инцидент не затронул каталог, так что читатели смогли искать нужные книги. Сеть читален отказалась платить выкуп хакерам и вместо этого пообещала направить ресурсы на перестройку ИТ-инфраструктуры в соответствии с рекомендациями CISA и других федеральных агентств.

По данным американской прокуратуры, утечка данных, которая в 2024 году произошла в библиотеке Сиэттла, затронула около 27 тыс. человек. Атака с использованием вируса-вымогателя в День поминовения (конец мая) привела к отказу онлайн-сервисов. Читателям был недоступен онлайн-каталог, а их регистрацию сотрудникам пришлось вести на бумаге. Работу сервисов удалось восстановить, но в ходе инцидента злоумышленники получили доступ к такой конфиденциальной информации посетителей, как имена, номера водительских прав, адреса электронной почты и ответы на контрольные вопросы. Также были скомпрометированы данные сотрудников библиотеки: номера социального страхования, финансовая и банковская информация, сведения о полисах медицинского страхования и медицинская информация. У посетителей такая информация не собирается. Известно, что библиотека Сиэттла потратила около 1 млн долларов США на мероприятия по реагированию на атаку и ее расследование. Известно, что основная часть из этой суммы, около 400 тыс. долларов, было заплачено за расследование инцидента, 262 тыс. ушло на восстановление доступа к ресурсам и терминалам, а 87 тыс. долларов составили гонорары юристов.

Филиалы публичной библиотеки Калгари в Канаде были закрыты пять дней после кибератаки с использованием вируса-вымогателя осенью 2024 г. Вирус заблокировал сервисы библиотеки. В рамках сдерживания инцидента сотрудники отключили серверы и системы. Некоторое время после открытия читальных залов учет регистрации читателей и выдачи книг пришлось вести по старинке — с помощью ручки и бумаги.

В Канаде недавно произошел еще один серьезный инцидент. Публичная библиотека Торонто (TPL) отказалась платить выкуп после того, как киберпреступники вывели из строя ее веб-сайт и сеть общественных компьютеров. С помощью вредоносной программы злоумышленники могли получить доступ к такой информации, как имена, номера социального страхования, правительственные идентификационные данные и адреса сотрудников, начиная с 1998 года.  По данным Toronto Sun, TPL потребовалось почти четыре месяца, чтобы оправиться от инцидента и восстановить полный доступ к услугам. За этом время в хранилищах скопилось около миллиона возвращенных книг — только после ликвидации последствий атаки сотрудники филиалов библиотеки смогли снова расставить тома на полки. TPL, по собственному учреждению, является самой загруженной библиотечной сетью в мире. В 2022 году читатели брали 11 млн книг около 27 млн раз. Расследование показало, что в ходе инцидента утекли персональные данные приблизительно 8018 нынешних и бывших сотрудников, 1874 их наследников и иждивенцев, а также 4100 (или менее) клиентов, спонсоров, подрядчиков, волонтеров и соискателей.

Один из самых масштабных инцидентов последних лет произошел в Британской библиотеке. Очень 2023 г. хакеры из группировки Rhysida украли около 600 ГБ данных — порядка 500 тыс. файлов — из CRM-системы. Злоумышленники получили персональные данные пользователей и сотрудников библиотеки. В ходе целевых атак хакеры тотально копировали записи из определенных отделов, а также использовали поиск по ключевым словам для выявления конфиденциальных файлов по всей сети. Также были скомпрометированы баз данных, но финансовые данные, по-видимому, не утекли. Через несколько дней после атаки Rhysida слила внутренние документы HR-отдела библиотеки в дарквеб. Эти файлы могли включать сканы паспортов сотрудников и договора. Затем хакеры организовали недельный аукцион по продаже украденных данных, потребовав 20 биткойнов (на тот момент около 600 тыс. фунтов стерлингов) за полный набор данных.

Впоследствии Rhysida опубликовала 573 ГБ данных — примерно 90% от общего объема украденной информации — на своем сайте в дарквебе. Это говорит о том, что хакерам не удалось продать полный набор данных, и указывает на то, что Британская библиотека не вела переговоры или не выполняла их требования.

Помимо кражи данных, злоумышленники зашифровали данные и системы, а также уничтожили некоторые серверы, что серьезно затруднило возможность библиотеки для восстановления своей инфраструктуры. Хотя имелись защищенные резервные копии цифровых архивов и метаданных, отсутствие жизнеспособной инфраструктуры стало серьезным препятствием для восстановления.

Даже после запуска онлайн-каталога в январе 2024 года многие цифровые сервисы Британской библиотеки оставались недоступными. Атака оказала огромное влияние на все сферы деятельности библиотеки. Хотя читальные залы оставались открытыми, работа учреждения была сильно затруднена в течение нескольких месяцев.