Christie’s: Η RansomHub ανέλαβε την ευθύνη για την κυβερνοεπίθεση

Μια ομάδα χάκερ με την ονομασία RansomHub είπε ότι βρισκόταν πίσω από την κυβερνοεπίθεση που έπληξε τον ιστότοπο του Christie’s λίγες μέρες πριν ξεκινήσουν οι ανοιξιάτικες δημοπρασίες του, αναγκάζοντας τον οίκο δημοπρασιών να καταφύγει σε εναλλακτικές λύσεις αντί της ηλεκτρονικής υποβολής προσφορών.

Σε μια ανάρτηση στο dark web τη Δευτέρα, η ομάδα ισχυρίστηκε ότι είχε αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες σχετικά με τους πλουσιότερους συλλέκτες έργων τέχνης στον κόσμο, δημοσιεύοντας μόνο μερικά παραδείγματα ονομάτων και γενεθλίων.

«Έπεσε» η σελίδα του Christie’s – Στον αέρα μεγάλες δημοπρασίες

Όπως γράφουν οι New York Times, δεν ήταν άμεσα δυνατή η επαλήθευση των ισχυρισμών του RansomHub, αλλά αρκετοί εμπειρογνώμονες στον κυβερνοχώρο είπαν ότι είναι μια γνωστή επιχείρηση ransomware και ότι ο ισχυρισμός θα μπορούσε να ευσταθεί. Ούτε ήταν σαφές εάν οι χάκερ είχαν αποκτήσει πρόσβαση σε πιο ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των οικονομικών δεδομένων και των διευθύνσεων πελατών. Η ομάδα είπε ότι θα δημοσιοποιήσει τα δεδομένα, αναρτώντας ένα χρονόμετρο αντίστροφης μέτρησης που θα φτάσει στο μηδέν μέχρι τα τέλη Μαΐου.

Έρευνες

«Οι έρευνές μας διαπίστωσαν ότι υπήρχε μη εξουσιοδοτημένη πρόσβαση από τρίτο μέρος σε τμήματα του δικτύου Christie’s» ανέφερε ο οίκος. Ο εκπρόσωπος, Έντουαρντ Λιουάιν, είπε ότι οι έρευνες «καθόρισαν επίσης ότι η ομάδα πίσω από το περιστατικό πήρε κάποια περιορισμένη ποσότητα προσωπικών δεδομένων που αφορούσαν ορισμένους από τους πελάτες μας» και πρόσθεσε ότι «δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα οικονομικά ή συναλλακτικά αρχεία έχουν παραβιαστεί».

Οι χάκερς από την πλευρά του ανακοίνωσαν ο Christie’s δεν δέχθηκε να πληρώσει λύτρα όταν του ζητήθηκε.

«Προσπαθήσαμε να καταλήξουμε σε μια λογική λύση μαζί τους, αλλά σταμάτησαν να επικοινωνούν στη μέση», έγραψαν οι χάκερ στη σκοτεινή ανάρτησή τους στον ιστό, η οποία εξετάστηκε από έναν δημοσιογράφο των New York Times. «Είναι σαφές ότι αν δημοσιευτούν αυτές οι πληροφορίες, θα υποστούν βαριά πρόστιμα από το GDPR καθώς και θα καταστρέψουν τη φήμη τους στους πελάτες τους».

Ο GDPR, ο Γενικός Κανονισμός Προστασίας Δεδομένων, είναι ένας νόμος περί απορρήτου των πληροφοριών στην Ευρωπαϊκή Ένωση που απαιτεί από τις εταιρείες να αποκαλύπτουν πότε οι κυβερνοεπιθέσεις ενδέχεται να έχουν θέσει σε κίνδυνο τα ευαίσθητα δεδομένα των πελατών. Η μη συμμόρφωση με το νόμο περιλαμβάνει πιθανά πρόστιμα σε εταιρείες που μπορεί να ανέλθουν σε περισσότερα από 20 εκατομμύρια δολάρια.

Οι ειδικοί στον τομέα της κυβερνοασφάλειας είπαν ότι η RansomHub έχει εμφανιστεί τους τελευταίους μήνες ως μια ιδιαίτερα ισχυρή ομάδα ransomware με πιθανές συνδέσεις με το ALPHV, ένα δίκτυο ρωσόφωνων εκβιαστών που κατηγορείται για μια κυβερνοεπίθεση στο Change Healthcare νωρίτερα αυτό το έτος. Οι χάκερ σε εκείνη την περίπτωση φάνηκε να έλαβαν πληρωμή 22 εκατομμυρίων δολαρίων από τον ιδιοκτήτη της εταιρείας, UnitedHealth Group, αν και η United δεν παραδέχτηκε ποτέ ότι έστειλε τα χρήματα. Τον Απρίλιο, το RansomHub κατέταξε την Change Healthcare ως ένα από τα θύματά της και ισχυρίστηκε ότι κρατούσε τέσσερα terabyte κλεμμένων δεδομένων.

«Γνωρίζουμε ότι ο Christie’s είχε ένα περιστατικό και μια γνωστή επιχείρηση ransomware ανέλαβε τώρα την ευθύνη», δήλωσε ο Brett Callow, αναλυτής απειλών στην εταιρεία κυβερνοασφάλειας Emsisoft. «Δεν υπάρχει πραγματικός λόγος να αμφιβάλλουμε για τους ισχυρισμούς».

Υποβάθμιση

Πριν από τις μεγάλες ανοιξιάτικες δημοπρασίες του, ο Christie’s είχε υποβαθμίσει σε μεγάλο βαθμό την εμβέλεια της κυβερνοεπίθεσης. Πολλοί πελάτες έμαθαν για το χακάρισμα από τον Τύπο και η εταιρεία προτίμησε να περιγράψει το hack ως «συμβάν τεχνολογικής ασφάλειας». Η στρατηγική φάνηκε επιτυχημένη και τα αποτελέσματα της δημοπρασίας —αν και χλιαρά— έδειξαν ελάχιστες ενδείξεις ότι οι αγοραστές και οι πωλητές ήταν πιο συντηρητικοί με τις προσφορές τους.

Αλλά μέσα στον οίκο δημοπρασιών, οι υπάλληλοι είπαν ότι επικρατούσε πανικός. Μετά το τέλος της εαρινής σεζόν εκπτώσεων, η οποία κέρδισε 528 εκατομμύρια δολάρια, η εταιρεία ανέκτησε τον έλεγχο της ιστοσελίδας της.

Δύσκολες ώρες

Συνολικά, ο κύριος ιστότοπος των Christie’s ήταν εκτός σύνδεσης για περίπου 10 ημέρες. Ο Christie’s ανήκει στην Artemis της οικογένειας δισεκατομμυριούχων Pinault.

Πέρυσι, ο οίκος δημοπρασιών ανέφερε παγκόσμιες πωλήσεις περίπου 6,2 δισεκατομμυρίων δολαρίων.

Πέρυσι, ο οίκος δημοπρασιών δημοσίευσε κατά λάθος δεδομένα τοποθεσίας στον ιστότοπό του που αποκάλυψαν την τοποθεσία των πλούσιων συλλεκτών έργων τέχνης, σύμφωνα με την Washington Post. Ορισμένες φωτογραφίες έργων τέχνης στον ιστότοπο της εταιρείας περιελάμβαναν συντεταγμένες GPS για το πού τραβήχτηκε η λήψη, μια ευπάθεια που αποκαλύφθηκε από ερευνητές ασφαλείας και τελικά επιδιορθώθηκε.

Άλλα πολιτιστικά ιδρύματα έχουν διαταραχθεί από κυβερνοεπιθέσεις τα τελευταία χρόνια. Για παράδειγμα, τον Δεκέμβριο του 2022, μια κυβερνοεπίθεση στη Metropolitan Opera στη Νέα Υόρκη διέκοψε την ιστοσελίδα, τα ταμεία και το τηλεφωνικό της κέντρο. Ένα χρόνο αργότερα, μια κυβερνοεπίθεση εναντίον του παρόχου λογισμικού Gallery Systems προκάλεσε διακοπές στο διαδίκτυο σε πολιτιστικούς οργανισμούς, όπως το Μουσείο Καλών Τεχνών της Βοστώνης και το Μουσείο Τέχνης Rubin στη Νέα Υόρκη, σύμφωνα με τους New York Times.