Une fois de plus, les serveurs SQL Server exposés sur Internet sont pris pour cible par les cybercriminels. Cette fois-ci, l'objectif est de déployer le ransomware Trigona et de chiffrer tous les fichiers de la machine compromise. Faisons le point.
D'après les chercheurs en sécurité de l'entreprise AhnLab qui ont mis en lumière cette campagne d'attaques, les cybercriminels du gang de ransomware Trigona scannent Internet à la recherche de serveurs SQL Server accessible à distance. Sur les serveurs identifiés, ils peuvent ensuite effectuer une attaque par brute force (notamment à l'aide d'un dictionnaire de mots de passe). Si l'administrateur n'a pas défini un mot de passe suffisamment complexe et que son serveur n'est pas correctement protégé (avec une instance CrowdSec, par exemple), il peut être compromis par les pirates.
Lorsque les pirates obtiennent un accès sur le serveur SQL Server, il déploie un malware surnommé CLR Shell par l'entreprise AhnLab. Ce malware est utilisé pour effectuer une élévation de privilèges sur le serveur, notamment en exploitant une faille de sécurité dans Windows Secondary Logon Service (CVE-2016-0099). Lorsque le malware dispose des droits SYSTEM sur le serveur, il télécharge et exécute le ransomware en tant que processus svchost.exe. Le chiffrement des données est effectué (extension ._locked) et certaines données sont exfiltrées.
Pour rendre l'opération de récupération plus difficile, le logiciel malveillant supprime les points de restauration et les éventuels clichés instantanés du serveur. Bien entendu, une note de rançon est déposée par le ransomware Trigona pour donner les instructions à la victime. Actif depuis au moins octobre 2022, ce gang accepte uniquement les paiements via la cryptomonnaie Monero.
Bien que cette menace soit réelle, pour en être victime, il faut disposer d'un serveur SQL Server exposé sur Internet, avec un compte pas suffisamment protégé et un serveur qui n'est pas à jour. Quoi qu'il en soit, le ransomware Trigona est très actif puisqu'il y a eu au moins 190 soumissions à la plateforme ID Ransomware depuis le début de l'année 2023.
Les cybercriminels associés au gang du ransomware Vice Society s'appuient sur un outil codé en PowerShell pour exfiltrer des données sur les machines compromises. Grâce à cette méthode, l'action malveillante est plus difficile à détecter.
L'Unit 42 de chez Palo Alto Networks a mis en ligne un nouveau rapport au sujet de cette nouvelle méthode d'exfiltration utilisée par le ransomware Vice Society.
Ce groupe qui a émergé en mai 2021 utilise un script PowerShell nommé w1.ps1 qui va effectuer les actions suivantes sur la machine virtuelle :
Lister l'ensemble des lecteurs de la machine
Parcourir le contenu des lecteurs de la machine (Get-ChildItem)
Exfiltrer les données vers un serveur externe via des requêtes POST en HTTP
Source : Palo Alto Networks
Pour exfiltrer uniquement des données intéressantes, le script PowerShell effectue des exclusions sur certains fichiers, notamment les fichiers du système, les fichiers relatifs à des sauvegardes ainsi que les fichiers de la solution de sécurité présente sur la machine (Symantec, ESET, Sophos sont mentionnés).
Ce système de filtrage va même plus loin comme le précise le rapport : "Cependant, le fait que le script se concentre sur les fichiers de plus de 10 Ko avec des extensions de fichiers et dans des répertoires qui correspondent à sa liste d'inclusion signifie que le script n'exfiltrera pas de données qui ne correspondent pas à cette description."
Pour éviter de consommer trop de ressources sur la machine sur lesquelles les données sont exfiltrées, le script utilise un système de file d'attente pour envoyer les données progressivement vers le serveur distant.
Ce script PowerShell est un très bon exemple du principe de la double extorsion. En plus de chiffrer les données, les ransomwares ont tendance à exfiltrer les données des entreprises afin de les divulguer sur le Dark Web si la victime ne paie pas la rançon.
Une fois de plus, on voit que la menace ransomware est bien présente et active, tout en étant en perpétuelle évolution.
Le ransomware LockBit dispose d'un module de chiffrement spécifique pour cibler les machines sous macOS. Même si c'est en phase de tests, les utilisateurs de Mac doivent se méfier : LockBit est redoutable et cette campagne pourrait faire de nombreuses victimes.
Les chercheurs en sécurité de l'équipe Malware Hunter ont fait la découverte de cet échantillon destiné à macOS sur le site VirusTotal. Jusqu'à présent, le ransomware LockBit, dans ses différentes versions, ciblait plusieurs plateformes, dont les machines sous Windows, Linux et les hyperviseurs VMware ESXi. Désormais, les utilisateurs de macOS ne sont plus épargnés par cette menace.
Le ransomware LockBit serait capable de chiffrer les machines Apple avec une puce Apple Silicon (et probablement les modèles sous Intel). En effet, les chercheurs ont repéré un module de chiffrement nommé "locker_Apple_M1_64" (voir ici) qui cible les puces Apple.
Même si cette information est évoquée aujourd'hui, ce module de chiffrement ne semble pas nouveau. D'après le chercheur en cybersécurité Florian Roth, un module de chiffrement LockBit compatible Apple M1 a été téléchargé sur VirusTotal en décembre 2022 !
Toutefois, d'après le site BleepingComputer, dont les auteurs ont pris le temps d'analyser ce module de chiffrement pour Apple M1, il s'agit d'une phase de tests. Par exemple, il y a des exclusions sur les extensions ".exe" ou ".dll" qui sont propres au fonctionnement de Windows, et non à macOS.
Information confirmée par LockBitSupp, un porte-parole de LockBit, qui a clairement indiqué que le module de chiffrement pour Mac était "en cours de développement". Bien sûr, ces informations sont à prendre avec des pincettes, mais il est clair que la menace LockBit se rapproche de macOS.
Dans les semaines et mois à venir, il y a de fortes chances pour que LockBit fasse des ravages sur macOS si les développeurs du gang LockBit parviennent à développer un module pleinement opérationnel. Ce qui n’est surement qu'une question de temps...!
Il va être indispensable de protéger votre macOS, au même titre qu'il faut protéger une machine sous Windows.
Dans ce tutoriel, nous allons apprendre à configurer FSRM sur notre serveur de fichiers de manière à déployer une première barrière de protection contre les ransomwares. Pour cela, nous allons utiliser un script PowerShell prêt à l'emploi, développé par mes soins et personnalisable pour votre environnement.
Pour rappel, un ransomware, en français rançongiciel, est un logiciel malveillant qui va chiffrer vos données et vous demander de payer une rançon si vous souhaitez obtenir la clé de déchiffrement dans le but de récupérer vos données. Dans certains cas, les données sont également exfiltrées dans le but d'être divulguées ou revendues.
Avec le filtrage de fichiers de FSRM, on va pouvoir bannir certaines extensions de fichiers (et noms de fichiers) sur notre serveur de fichiers Windows Server. En bloquant les extensions associées aux ransomwares, on empêchera le ransomware de chiffrer les fichiers, car il ne pourra pas enregistrer le fichier dans son nouveau format.
Prenons un exemple. L'extension ".locky" associée au ransomware Locky. S'il est exécuté par un pirate sur votre serveur de fichiers, il ne pourra pas chiffer vos données, car l'extension ".locky" est bloquée sur les volumes/dossiers où sont situées vos données grâce à la règle mise en place et déployée via le script PowerShell.
Cette technique est connue depuis plusieurs années et mérite d'être toujours mise en place aujourd'hui puisqu'elle se met en place facilement et qu'elle protège vos données.
III. Que va faire ce script ?
Lorsque le script BlockRansomwares.ps1 sera exécuté sur votre serveur de fichiers, que va-t-il faire ?
Ce script sert à configurer le filtrage de fichiers dans FSRM sur votre serveur et à maintenir à jour la configuration. Ce script va :
Créer un groupe de fichiers
Ce groupe de fichiers contiendra la liste de toutes les extensions associées aux attaques par ransomware. Pour cela, on va s'appuyer sur la liste accessible à cette adresse qui est la relève du site fsrm.experiant.ca puisque la liste n'est plus maintenue après des années d'existences. Cette liste contient tous les noms de fichiers et toutes les extensions qui ont été utilisées par des ransomwares.
Cette liste sera mise à jour par le script (que l'on exécutera en tâche planifiée) pour tenir compte des changements apportés dans la liste téléchargée via l'API.
Créer un modèle de groupe de fichiers
Un modèle de groupe de fichiers sera créé pour effectuer du filtrage actif sur les extensions correspondantes à notre groupe de fichiers précédemment créé. Cela va aussi activer les notifications par e-mail et l'avertissement dans le journal des événements.
Créer les règles de filtre de fichiers
Pour finir, ce script va mettre en place les règles de filtrages de fichiers pour protéger les dossiers et volumes de votre choix.
Logs et rapports
Les actions réalisées par ce script seront journalisées dans des fichiers de logs et un rapport par e-mail pourra être envoyé à destination du service informatique à chaque exécution. Ce rapport contient la liste des nouvelles extensions ajoutées et des extensions supprimées.
IV. Déployer BlockRansomwares
Le projet BlockRansomwares se découpe en trois fichiers :
Prerequis-BlockRansomwares.ps1 : un script qui sert à vérifier la version PowerShell du serveur et à installer le rôle FSRM s'il n'est pas installé
BlockRansomwares.ps1 : le script qui sert à déployer la configuration et qu'il faut exécuter en tâche planifiée (au moins une fois par jour) pour mettre à jour la liste des extensions
BlockRansomwares.psd1 : un fichier de configuré appelé par le script de configuration qui vous permet de personnaliser le fonctionnement de l'outil
Voyons plus en détail comment cela se passe...
A. Prérequis
La première étape consiste à exécuter le script qui vérifie les prérequis, en tant qu'administrateur. Un retour de la console sera généré.
.\Prerequis-BlockRansomwares.ps1
B. Personnaliser la configuration
La seconde étape consiste à personnaliser la configuration avec "BlockRansomwares.psd1".
Chaque paramètre est commenté, mais voici quelques informations complémentaires :
ClientName : nom de l'entreprise qui ressortira dans les rapports envoyés par e-mail (voir plus loin dans l'article)
APIMode :
En mode "Incremental", on ajoute les nouvelles extensions ajoutées dans la liste récupérée sur GitHub mais on ne supprime pas celles qui seraient supprimées dans cette même liste
En mode "Sync", on se calque à l'identique de la liste, pour tenir compte des ajouts et suppressions
ExtensionsToExclude : s'il y a une extension qui vous pose problème et qu'elle est dans la liste récupérée, vous pouvez l'exclure ici (plusieurs valeurs possibles)
ExtensionsToInclude : s'il y a une ou plusieurs extensions à ajouter, en plus de celles présentes dans la liste
ProtectAllShares :
Si ce paramètre est sur vrai ($true), le script va protéger tous les partages de fichiers du serveur, sauf ceux correspondants aux chemins déclarés dans DirToExclude
Si ce paramètre est sur faux ($false), le script va protéger uniquement les chemins déclarés dans DirToProtect
SMTP : les paramètres pour envoyer les e-mails, attention cela va venir écraser vos paramètres dans FSRM (si c'est déjà configuré) donc remettez vos valeurs
Une fois que la configuration est prête, le script de mise en place peut être exécuté.
C. Déployer la protection anti-ransomware dans FSRM
On exécute le script :
.\BlockRansomwares.ps1
Par défaut, il va chercher le fichier de configuration dans le même répertoire que le script. Sinon, il faut spécifier le paramètre -Config.
La sortie dans la console permet de voir ce qu'il se passe.
Un nouveau groupe de fichiers sera créé :
Un nouveau modèle de filtre de fichiers sera créé :
Enfin, la protection sera déployée sur tous les partages ciblés d'après la configuration de l'outil. Il est à noter que c'est uniquement de l'ajout : si une nouvelle exclusion est ajoutée dans la liste, ou que l'on change de mode, la protection n'est pas supprimée. Actuellement, on fait uniquement de l'ajout et actualisation.
Dans le même temps, un rapport par e-mail est envoyé. Voici à quoi il ressemble :
D. Créer une tâche planifiée pour la mise à jour automatique
Pour que la liste des extensions soit actualisée fréquemment, on va créer une tâche planifiée qui s'exécuter une fois par jour et qui va relancer le script BlockRansomwares.ps1.
Cette tâche doit être créée par vos soins et exécuter le script via PowerShell. Ce qui donnera :
V. Conclusion
Grâce à la mise en place de ce filtrage, une barrière de protection très intéressante est en place sur votre serveur de fichiers ! Ce qui peut, potentiellement, vous éviter quelques sueurs froides....
Ce script est disponible en libre accès sur mon GitHub :
Dans le cadre d'une analyse effectuée suite à un incident de cybersécurité, des chercheurs en sécurité ont fait la découverte d'un ransomware qu'ils ont surnommé Rorschach et qui serait actuellement le plus rapide pour chiffrer les données.
Les chercheurs en sécurité de chez Check Point sont à l'origine de cette analyse effectuée après qu'une entreprise américaine ait subi une attaque informatique. Lors de cette attaque, les pirates sont parvenus à exploiter une faiblesse dans un outil de sécurité de chez Palo Alto Networks : Corter XDR, en utilisant la technique DLL side-loading.
D'après le rapport mis en ligne par Check Point, on peut voir que l'attaquant s'est appuyé sur Cortex XDR Dump Service Tool (cy.exe) pour initier l'attaque, ainsi que la bibliothèque winutils.dll. Finalement, le payload du ransomware a été exécuté via le processus notepad.exe à partir d'un fichier "config.ini". Une fois qu'une machine est compromise, le ransomware efface les journaux des événements de Windwos pour ne pas laisser de traces évidentes.
Source : Check Point
Le ransomware Rorschach est d'autant plus dangereux qu'il crée une GPO pour se propager vers d'autres machines lorsqu'il est exécuté sur un contrôleur de domaine. Une technique utilisée par d'autres ransomwares comme LockBit 2.0. Ce logiciel malveillant dispose d'une configuration codée en dur, mais il accepte des arguments à l'exécution. Grâce à du reverse engineering, les chercheurs en sécurité de Check Point sont parvenus à trouver quelques arguments.
Une technique de chiffrement redoutable
Avant de parler de la rapidité du chiffrement, ce qui est surprenant, c'est que le ransomware Rorschach chiffre les données de la victime uniquement si la machine utilise une langue qui n'appartient pas à la Communauté des États indépendants. Au passage, la Russie fait partie de cette liste.
Pour le chiffrement, le ransomware utilise les algorithmes Curve25519 et eSTREAM Cipher hc-128, et il utilise une technique de plus en plus à la mode qui consiste à chiffrer uniquement une partie de chaque fichier. Cela est suffisant pour rendre le fichier illisible et intéressant pour chiffrer très rapidement les données. De plus, ce ransomware est optimisé pour bien utiliser les threads de la machine, ce qui le rend encore plus rapide.
Les chercheurs de Check Point ont fait un test de performance sur une machine avec un CPU 6 coeurs et un ensemble de 220 000 fichiers. Il a fallu seulement 4,5 minutes au ransomware Rorschach pour chiffrer l'ensemble des données. À titre de comparaison, le ransomware LockBit 3.0 qui est réputé pour être très rapide l'a fait en 7 minutes.
Finalement, du côté de Check Point on affirme que le ransomware Rorschach regroupe les meilleures fonctionnalités des ransomwares dont le code source a fuité. On pense notamment à LockBit 2.0, Babuk et DarkSide. Pour l'heure, le groupe de cybercriminels à l'origine de cette souche malveillante n'est pas identifié.
After crunching the numbers, little change has been found in ransomware attacks since 2019. Source: Unsplash
Emsisoft has published the state of ransomware report for 2022, providing a synopsis of ransomware attacks that occurred in the US last year. The report categorizes the attacks by the areas they affected — local government, education, and healthcare. Overall, 106 local governments, 44 universities, 1,981 schools, and 290 hospitals faced ransomware attacks. Information in the report came from various sources, including the dark web, press reports, third-party feeds, and disclosure statements.
Despite the US government’s best efforts and awareness campaigns since 2019, the ransomware attack figures have remained mostly the same in the years following. The report acknowledged its estimations don’t consider the attacks repelled by government efforts. Since accurate ransomware data collection can be tricky, the report indicated that its findings are on the minimum-range side.
“When it comes to cybersecurity incidents, it has always been hard to get accurate statistical information. What data is available is based largely on publicly available reports, but not all incidents are made public, even in the public sector and, consequently, the true number of incidents in all sectors of the economy is and has always been higher than reported,” read the official blog.
Emsisoft State of Ransomware Report: Local Governments
The report categorizes ransomware data into three categories: local governments, education, and healthcare. Source: Pexels
Cyberattacks targeting local governments have jumped from 77 in 2021 to 105 in 2022. However, the figures for this year also include the cyberattack in Miller County, Arkansas. In this incident, a single malware spread to 55 different counties.
A single large-scale incident like that can tip the scales and warp estimations. For example, if you exclude the Arkansas incident, cybercriminals stole data in about 54% of the cases. If you include the incident, the number is down to about 26%.
Only one local government paid ransom to cybercriminals this year: Quincy of Massachusetts paid USD 500,000 in ransom to retrieve stolen files. Five million dollars was the highest local government ransom demanded in 2022 in Wheat Ridge, Colorado.
The following year-by-year comparison shows that the incident figures have remained quite consistent since 2019:
Teachers and students should be made aware of how ransomware attacks happen and learn about basic cybersecurity principles. Source: Pexels
The attack on the Los Angeles Unified School District, affecting 1,300 schools and 500,000 students, was the most significant of 2022. The total number of education institutions targeted doubled from the previous year: 1,043 to 1,981. This figure includes 45 school districts and 44 colleges. In these attacks, cybercriminals extracted data in 65% of incidents, up from 50% in the previous year.
Out of all the attacks targeting educational institutions, at least three paid the ransom. This includes the USD 400,000 ransom Glenn County Education Office in California paid. Like the figures of local government attacks, the attacks on educational institutions have also remained stable since 2019:
2019 — 89
2020 — 84
2021 — 88
2022 — 89
Attacks on educational institutions carry other costs as well. These attacks bring university operations to a halt and delay module progression. Activities like test markings, accessing online lectures, and submitting assignments are all consequences of ransomware attacks.
Such costs are unbearable for institutions. They would also require proper awareness among both teachers and students about how ransomware attacks happen. Students are susceptible to clicking on malware and Trojans, which can lead to ransomware. In response to the recent breaches, Berkeley has recommended cybersecurity training for all its students and professors.
Emsisoft State of Ransomware Report: Healthcare
Healthcare remains an easy and juicy target for cybercrime gangs. Source: Pexels
The healthcare sector, with its vast, sensitive information collections, remains a favorite target of cybercrime gangs. Administrators in healthcare can’t afford the information leaking out, which forces them to give in to the criminals’ demands. The Emsisoft report revealed that the number of cyberattacks in the healthcare sector is huge. Yet, the industry lacks transparent reporting.
Emsisoft reported 24 healthcare ransomware incidents in 2022, potentially affecting 289 hospitals. In 71% of the cases, cybercriminals exfiltrated Protected Health Information (PHI) and other data. Due to a lack of disclosure, Emsisoft couldn’t ascertain the extent of its reported breaches. However, the most significant cybersecurity incident concerning healthcare in 2022 was the attack on CommonSpirit Health — which operates 150 hospitals.
More recently, a Hive ransomware attack on the Lake Charles Memorial Health System (LCMHS) in Louisiana affected over 270,000 patient records. Leaked information from the Hive attack included patient names, addresses, dates of birth, medical record or patient identification numbers, health insurance information, payment information, and/or limited clinical information regarding care received at LCMH.
The report focuses on public sector breaches because of the lack of transparency in private organizations. In particular, the lack of transparency around disclosing information related to ransomware or other breaches. Yet, private companies that suppress information related to ransomware and breaches still need to bolster their defenses. This is especially the case since cyberattacks have increased in complexity and extent.
All commercial entities should implement the most highly recommended cybersecurity practices to protect against and mitigate cyberattack aftershocks. These measures include multifactor authentication across all services, regular and automated patching, high-quality antivirus and malware detection tools, and employee awareness campaigns. Penetration testing is also an excellent way to find weaknesses in any network.
Ransomware is here to stay, despite public and private organizations’ best efforts to curb it. In fact, ransomware attacks are growing in sophistication. To counter the new ransomware attacks and to spread awareness about them, Emsisoft first recommends calling them by names that more accurately describe the nature of these attacks. Suggested terms include “data extortion events,” “encryption-based data extortion,” and “exfiltration-based data extortion.”
This could set quite a worrying precedent, as the cybersecurity industry benefits from quick communication regarding the most recent cybercrime breaches. With more sophisticated threats on the horizon, companies can benefit from information sharing and updated defense mechanisms.
LockBit shows mercy in a strange show of compassion to the SickKids hospital in Toronto. Source: Unsplash
After LockBit encrypted information in an attack on the Hospital for Sick Children (SickKids) in Toronto on Dec.18, it has tendered an apology and a free decryptor to the hospital. LockBit has come out against the attack, calling it a violation of its terms of service by an affiliate, and said it doesn’t target institutions where a compromise “could lead to death.” By Jan. 1, SickKids had restored 60% of its operations.
The hospital was forced to declare “System Failure” under its code “Grey”. Despite disrupting hospital phone lines and web pages, the breach didn’t affect patient care. Attempting to ease privacy concerns from such attacks, the hospital claimed the cybercriminals didn’t steal any sensitive patient information — a rarity in such cases.
The decryptor, which includes Linux/VMware ESXi, suggests that the attack could only encrypt virtual machines on the hospital’s network, and no Windows machines were compromised.
LockBit’s Ransomware-as-a-Service Model
A rare apology from LockBit isn’t proof of it mending its ways. Source: Bleeping Computer
LockBit operates a ransomware-as-a-Service (Raas) model. This enables it to lend the software to affiliates whose job is to use the software to penetrate networks and perform operations. At the same time, LockBit itself only has to maintain the encryptors, decryptors, and websites. These affiliates pocket 20-25% of the profits on each extortion.
Once the cybercriminals encrypt a server, they hold it for ransom, refusing to decrypt it unless the victims make the payment. Mostly, a payment results in server and file decryption. Cybercrime groups run on commercial principles, so they have to keep up their end of the bargain.
LockBit, under its terms, forbids encrypting medical data. Nonetheless, it delayed the release of the decryptor in this case. Yet, the same terms and conditions haven’t stopped its affiliates from breaching hospitals in the past. In August, LockBit affiliates compromised the Center Hospitalier Sud Francilien (CHSF) in France and demanded $10 million in ransom. The group leaked staff and patient data online when the hospital failed to meet its demands.
It seems as if these terms and conditions allow LockBit to keep its distance from affiliates in case its vigilante reputation is at stake. It could plead deniability and sever relations with the affiliate if the attack doesn’t go down well. By lending its ransomware, it can just stay back and lurk in the shadows.
The ransomware it has developed is automated and easy to use. Once it infects a single host on a network, the virus spreads to other hosts on autopilot. It also automatically completes post-exploitation procedures, such as the escalation of privileges.
LockBit Protection — Staying Safe in the World of Ransomware
LockBit is the most active ransomware strain in the world, according to Blackberry. Source: Unsplash
According to Blackberry, LockBit is one of the most active ransomware strains worldwide. With its ransom demands averaging at about $85,000 per victim, it’s safe to assume that the group mainly targets small to medium-sized enterprises. However, it has also compromised large federal and commercial organizations, demanding ransoms in the millions of dollars.
Blackberry research explained how LockBit works: “LockBit seeks initial access to target networks primarily through purchased access, unpatched vulnerabilities, insider access, and zero-day exploits. Second-stage LockBit establishes control of a victim’s system, collects network information, and achieves primary goals such as stealing and encrypting data.”
Knowing these patterns, network administrators can devise their defense mechanisms. Above all, a well-rounded cybersecurity strategy that offers robust protection can thwart any cybercrime group, including LockBit. Networks need high-quality antivirus protection as well as sensitive malware detection systems. Bear in mind that not every security product is made equal — some are far better than others at detecting and preventing infections.
Better still, network administrators should encourage the use of multifactor authentication across as many services as possible. These vastly reduce the risks of network penetration. For employees, administrators should lay down clear guidelines for changing passwords. Further, they should use automatic patch management that can routinely identify and patch vulnerabilities as they arise. Lastly, reduce user privileges on the network to a functional bare minimum.
The Continual Critical Infrastructure Threat
The Port of Lisbon remains operational, but they have until Jan.18 to comply with LockBit’s demands. Source: The Bleeping Computer
As highlighted earlier, hospitals continue to be soft targets for cybercriminals. On Christmas, cyberattacks hit the administrative registrars of six counties in North Carolina. As a result of the attack, processing and access to wills, birth certificates, death certificates, marriage licenses, and other governmental procedures have slowed down or halted completely. Local governments have been reduced to using pen and paper, causing operational efficiency to nosedive.
LockBit was also busy on Christmas launching an attack on the Port of Lisbon Administration (APL). The Port of Lisbon is a key European port, serving a variety of ships from various countries arriving at its harbors. Currently, the APL website (http://portodelisboa.pt) is offline. LockBit added the APL to its ransomware website on Dec. 29. While the port is operational, the cybercrime gang claims to have accessed financial reports, audits, budgets, contracts, cargo information, ship logs, crew details, customer PII (personally identifiable information), port documentation, email correspondence, and more.
Hospitals Are an Ongoing Target for Ransomware Operations
Despite the odd compassionate turn in tendering an apology and offering decryption, LockBit and other cybercrime groups like it continue to target hospitals. Recently, a Hive ransomware attack exposed 270,000 patient records at Lake Charles Memorial Hospital.
In another incident, an attack on CommonSpirit Health — a chain of over 150 hospitals — exposed over 600,000 patients’ data. Hospitals are easy targets and contain vast repositories of patient information. From 24 healthcare exploits in 2022, cybercriminals obtained Protected Health Information (PHI) in over 71% of the cases. Poor data protection procedures coupled with sensitive data and many avenues for exploitation make healthcare systems extremely vulnerable and sensitive targets.
Connexion
