Những người đã tải xuống dữ liệu bị đánh cắp của một cuộc tấn công ransomware đang bị điều tra thông tin cá nhân.

df_yfvr

Những người tải về dữ liệu của HSE sẽ bị điều tra

Theo BleepingComputer, một tòa án Ireland đã yêu cầu VirusTotal cung cấp thông tin của những người đăng ký đã tải xuống hoặc tải lên dữ liệu bí mật bị đánh cắp từ dịch vụ chăm sóc sức khỏe quốc gia của Ireland trong một cuộc tấn công bằng ransomware (mã độc tống tiền).

Vào tháng 5, hệ thống chăm sóc sức khỏe được tài trợ công khai của Ireland – HSE, là mục tiêu của cuộc tấn công ransomware Conti gây ra sự gián đoạn lớn của hệ thống CNTT sau khi các thiết bị được mã hóa. Conti tuyên bố đã đánh cắp 700 GB dữ liệu được cho là bao gồm thông tin bệnh nhân và nhân viên, hợp đồng, báo cáo tài chính, bảng lương…

Để chứng minh hành vi trộm cắp dữ liệu, nhóm Conti đã đăng một liên kết đến một tệp trong cuộc trò chuyện đàm phán về ransomware mà họ cho rằng có chứa các mẫu dữ liệu bị đánh cắp.

Theo FT, mẫu dữ liệu bị đánh cắp này bao gồm 27 tệp HSE bị đánh cắp có chứa dữ liệu bệnh nhân, sau đó được tải lên trang web quét phần mềm độc hại VirusTotal. Ngoài chức năng quét virus cho tệp, VirusTotal hoạt động như một kho lưu trữ các tệp đã tải lên cho phép người đăng ký tìm kiếm và tải tệp xuống để phân tích cho nghiên cứu bảo mật hoặc cải thiện phần mềm bảo mật của họ. Tuy nhiên, khi một tệp được tải lên VirusTotal, nó sẽ cho phép bất kỳ người đăng ký nào khác tải xuống và xem dữ liệu bí mật.

Sau khi tòa án Ireland đưa ra lệnh yêu cầu bất kỳ ai sở hữu dữ liệu bị đánh cắp phải trả lại cho HSE, FT đã trả lại dữ liệu nhưng từ chối chia sẻ nguồn người đã cung cấp các mẫu cho họ.

Vào ngày 29.6, tòa án tối cao Ireland đã ban hành lệnh yêu cầu Chronicle Security Ireland và Chronicle LLC, chủ sở hữu của VirusTotal, giao nộp thông tin cá nhân của những người đăng ký đã tải xuống hoặc tải lên dữ liệu HSE. Thông tin cá nhân bao gồm địa chỉ email, số điện thoại, địa chỉ IP hoặc địa chỉ thực.

Theo TheJournal, tệp chứa dữ liệu bị đánh cắp đã được tải xuống 23 lần từ VirusTotal trước khi dịch vụ này gỡ bỏ nó vào ngày 25.5.