Kibernetinė ataka buvo įvykdyta gruodžio 8 dieną – tačiau kaip teigia su anonimiškumo sąlyga sutikęs kalbėti portalo lrytas.lt šaltinis, programišiai į universiteto tinklą buvo infiltravęsi kelias savaites.
To paties šaltinio teigimu, iš universiteto už duomenų grąžinimą buvo prašoma 15 bitkoinų (šios dienos kursu – apie 590 000 eurų). Ši informacija nėra patvirtinta.
KTU duomenis pardavinėja grupuotė „Rhysida“ (pavadinimas pasirinktas pagal vieną šimtakojų gentį). Kaip rašo portalas cynet.com, grupuotės kilmė ir tapatybė nėra žinoma, tačiau pagal bendravimo su aukomis kalbą ir laiko juostą galima daryti prielaidą, kad jie gali būti įsikūrę Rusijoje arba kažkurioje iš NVS šalių.
Pavyzdžiui, jų užšifravimo/išpirkos reikalaujančioje programinėje (angl. ransomware) įrangoje yra kodo fragmentų ir komentarų rusų kalba, o jų išpirkos žinutėse ir viešinimo svetainėje vartojami rusiški žodžiai ir frazės.
Pastebėta, kad jie taip pat vengia atakuoti organizacijas Rusijoje ar kitose buvusiose sovietinėse šalyse. Manoma, kad „Rhysida“ turi sąsajų su išpirkos reikalaujančių programišių grupe „Vice Society“, kuri veikė 2021 m. ir taikėsi į švietimo sektorių. Netgi buvo iškelta prielaida, kad „Rhysida“ gali naudoti „Vice Society“ užšifravimo/išpirkos reikalavimo programų rinkinį arba kad kai kurie jos nariai galėjo prisijungti prie „Rhysida“ po to, kai „Vice Society“ nutraukė veiklą.
Pagrindinė „Rhysida“ veikla – vykdyti užšifravimo/išpirkos reikalaujančių programų atakas pasauliniu mastu, nukreiptas į įvairius sektorius, įskaitant švietimo, valdžios, gamybos ir technologijų, tačiau ypač daug dėmesio skiriama sveikatos priežiūrai ir visuomenės sveikatai. Jų tarpžemyninės operacijos paveikė organizacijas Europoje, Šiaurės ir Pietų Amerikoje, Azijoje ir Australijoje, rašo cynet.com.
Tarp žymiausių grupuotės aukų - Britų biblioteka, Čilės kariuomenė, JAV ligoninių tinklas „Prospect Medical Holdings“, Kuveito Sveikatos apsaugos ministerija. Iš visų šių institucijų buvo reikalaujama 50 bitkoinų išpirka.
Pirmą kartą „Rhysida“ veikla buvo užfiksuota 2023 m. gegužę. Iki šiol 2023 m. grupuotė kiberentiškai užpuolė apie 50 aukų. Grupuotės dažniausiai pasitelkiama taktika – socialinė inžinerija, fišingas.
Antradienio popietę KTU portalui lrytas.lt atsiuntė laišką, kurį, kaip galima suprasti iš pateikiamų nurodymų, ką daryti patyrus duomenų pažeidimą, siuntė ir savo darbuotojams bei studentams.
Laiške rašoma, kad dėl gruodžio 8 d. prieš Kauno technologijos universiteto informacines sistemas įvykdytos atakos, kuomet buvo sutrikdytas prieinamumas prie daugelio sistemų, iš karto buvo pradėtas incidento tyrimas ir pradėti sistemų atkūrimo darbai, apie incidentą pranešta teisėsaugos ir priežiūros institucijoms.
„Vidinio tyrimo metu nustatyta, kad incidento metu įvyko nesankcionuota prieiga prie paveiktose informacinėse sistemose tvarkytų asmens duomenų ir kitos informacijos. Dėl incidento piktavaliai galėjo gauti nesankcionuotą prieigą prie šių Universiteto darbuotojų duomenų: vardas, pavardė, asmens kodas, gyvenamosios vietos adresas, telefono Nr., elektroninio pašto adresas, asmeninio automobilio valstybiniai numeriai“, – rašoma laiške.
Laiške KTU taip pat nurodo, kad nors viešojoje erdvėje pasirodė informacija su konkrečiais Universiteto bendruomenės narių dokumentų atvaizdais, KTU užtikrina, kad šių dokumentų kopijų informacinėse sistemose, kurios buvo paveiktos kibernetinės atakos metu, universitetas nesaugojo. Tokia informacija galėjo būti prarasta iš paveiktų darbo vietų.
„Dėl šių duomenų konfidencialumo pažeidimo Universiteto bendruomenė gali susidurti su atvejais, kuomet jiems nežinant ir be jų sutikimo gali būti bandoma veikti jų vardu, ar netgi bandoma pasisavinti jų tapatybę, perimti jų tiek darbines, tiek asmenines paskyras“, – rašoma universiteto atsiųstame laiške.