Хакеры зашифровали системы в национальном центре обработки данных Индонезии с помощью программы-вымогателя, нарушив иммиграционные проверки в аэропортах и ряд других государственных служб, сообщает министерство связи страны.
В заявлении, сделанном в понедельник, министерство сообщило, что системы Временного национального центра обработки данных (PDNS) были заражены Brain Cipher, новым вариантом печально известной программы-вымогателя LockBit 3.0.
Министр связи Буди Арье Сетиади сообщил государственному информационному агентству Antara, что хакеры потребовали выкуп в размере 8 миллионов долларов в обмен на расшифровку данных, и подчеркнул, что правительство не будет платить или выполнять требования.
Атака затронула филиал национального центра обработки данных, расположенный в Сурабае, сказал Ари Сетиади, а не другое место в столице Джакарте.
В результате взлома могут быть раскрыты данные, принадлежащие государственным учреждениям и местным органам власти.
Кибератака началась в прошлый четверг и затронула такие сервисы, как паспортные службы по оформлению виз и видов на жительство, а также системы управления иммиграционными документами, по словам главы национального киберагентства страны Хинсы Сибуриан.
По словам Антары, людям приходилось стоять в длинных очередях на стойках иммиграционной службы в аэропортах. По состоянию на понедельник большинство затронутых иммиграционных служб были восстановлены, и, как сообщается, важные данные были перенесены в облако.
Атака также затронула платформу, используемую для онлайн-зачисления в школы и университеты, вынудив региональное правительство продлить срок регистрации, сообщили местные СМИ. В общей сложности, по сообщениям, программа-вымогатель нарушила работу по меньшей мере 210 местных служб.
По словам Сибуриана, хакеры, вероятно, деактивировали функцию безопасности центра Windows Defender, что позволило им проникнуть в систему незамеченными. Затем они “заразили целевые системы вредоносным ПО, удалили важные файлы и деактивировали запущенные службы”.
Пока расследование атаки все еще продолжается, власти страны заявили, что они “изолировали” зараженные области. Артефакты, которые они могут использовать для анализа атаки, ограничены, поскольку системы были зашифрованы, сказал Сибуриан.
Министерство связи не ответило на запрос о комментариях.
Возвращение LockBit
Хотя хакеры использовали программу-вымогатель LockBit, не исключено, что за взломом могла стоять другая группа. Ряд участников угрозы используют утечку конструктора LockBit 3.0 и утверждают, что это их собственный, сказал Уилл Томас, преподаватель Института SANS. Например, по его словам, операторы программы-вымогателя SEXi использовали конструктор и недавно нацелились на центр обработки данных в Чили.
LockBit был одной из самых масштабных операций с программами-вымогателями до того, как полиция закрыла его сайт для вымогательства в феврале. Всего три месяца спустя киберпреступники, похоже, восстановили его.
По словам аналитика по кибербезопасности Доминика Альвиери, группа не указала правительство Индонезии на своем сайте утечки. “Обычно листинг затягивается из-за переговоров. Организации в Индии и Индонезии печально известны тем, что не платят, поэтому я сомневаюсь, что они это делали ”, – сказал Альвиери в интервью Recorded Future News.
Это не первый случай, когда центр обработки данных Индонезии становится мишенью хакеров. В 2023 году группа ThreatSec заявила о взломе систем центра, предположительно похитив конфиденциальные данные, включая судимости.
Еще одна крупная утечка данных в Индонезии, затронувшая крупнейший исламский банк страны, BSI, была приписана LockBit. В мае прошлого года хакеры, как сообщается, украли личную информацию более 15 миллионов клиентов и сотрудников BSI.