UPDATE 26.10.2021 3:30 am
We update this news with further new details on the affair, which we recall involved in the data theft and in the payment of the ransom the St. Augustine College of Chicago.
On September 27 and 28, SuspectFile.com sent two emails addressed to the College President, the St. Augustine Finance and Treasury Manager, the Interim IT Director, and the Financial Aid Director, respectively.
On 29 September, after an article has already been published, the President of St. Augustine Dr. Reyes Gonzalez replies with a laconic albeit kind email who, for an answer to our questions, invites us to contact the law firm Lewis Brisbois Bisgaard & Smith LLP .
On October 5, we first contact the attorney indicated in the email by the President of St. Augustine, but we do not receive any responses until we decide to contact the Illinois Attorney General’s Offices directly, responses given to us on Friday, October 22.
The Attorney General informs us that as of October 14, no notification by the St. Augustine had been forwarded to its offices. We let more than a week go by hoping for a response from the law firm, but the wait turns out to be in vain.
On 23 October we decide to write to the law firm again, but this time we explain in detail the quality of the documents exfiltrated by the Conti group of cybercriminals. We explain to the lawyer how the chat between who identifies as an engineer of St. Augustine College and the hacker was still visible, as well as the address of the wallet on which the sum of $ 150,000 in bitcoin was also visible.
In fairness, we inform the attorney that we had asked for and received an answer from the Illinois Attorney General’s Offices and that as of October 14 they had not received any communication on the matter.
Three hours after sending our email to the law firm, here comes the response we have been waiting for a month.
The attorney lets us know that
My client’s investigation is ongoing and notifications will be made once that investigation is complete and any potentially impacted individuals are identified.
We are confident that St. Augustine has complied with all legal procedures, just as we are confident that all those involved, whether internal or external to the College, will be informed.
What we do not understand, however, is the labile transparency that we “perceived” in providing answers: answers that certainly should not have given us and that instead should have already been in the hands of students, professors, employees and all those people who they work or have worked in the past for St. Augustine College in Chicago, precisely as a matter of transparency. Two lines on the College website would have taken the situation, but this has not been done either as far as we know.
Once again we are dealing with victims who unfortunately decide to feed the revenues of cybercriminals, a definitely questionable choice that this website finds and who writes absolutely against it.
Once again we find ourselves in the presence of laws with too large meshes and which in many cases leave room for interpretation. As long as such laws exist, not just in the US, cybercrime will have an extra margin within which to operate.
We need more stringent laws, we need laws that absolutely prohibit the payments of ransoms, we need laws that are more on the side of the real victims and in this case it is all those people who have put their trust in an educational institution by entrusting them with their identities.
La decisione del St. Augustine College di pagare il riscatto, un’entità educativa privata, è avvenuta dopo 11 giorni di conversazioni tra un ingegnere del proprio reparto IT e un componente del gruppo di cybercriminali Conti. Iniziate lo scorso 12 agosto, le trattative si sono protratte fino il giorno 23 dello stesso mese.
La cifra pagata dal College nell’Illinois, secondo le informazioni in nostro possesso, è stata fissata in 150.000 $ in bitcoin, anche se la cifra iniziale chiesta dal gruppo ransomware era più del doppio, 300.650 $.
Il gruppo ransomware Conti è penetrato all’interno dei sistemi IT del St. Augustine intorno i primi giorni di agosto è vi è rimasto, secondo quanto dichiarato nella chat da un membro del gruppo, per due settimane avendo così tutto il tempo di crittare i server e di esfiltrare documentazione per oltre 300 GB.
Un esponente del gruppo ha dichiarato che tra i documenti rubati grazie all’installazione di un malware nei sistemi informatici del College, probabilmente attraverso un allegato di posta elettronica, ci sarebbero dati personali dei clienti e dei dipendenti come gli indirizzi di casa, scansioni dei documenti personali e numeri di telefono. Sempre secondo il gruppo di cybercriminali sarebbero stati scaricati anche i bilanci, le buste paga e gli estratti conto.
Durante la conversazione il reparto IT del St. Augustine ha chiesto a Conti una prova in grado di confermare o meno la validità del loro file decryptor. E’ stato chiesto di decrittografare 3 file “generici”, documenti che lo stesso reparto IT ha caricato nella chat; dopo alcune ore i file decrittati sono stati caricati nella chat dal gruppo ransomware.
L’intento di Conti era quello di accorciare i tempi della negoziazione sperando di chiudere al più presto la trattativa. Questo è anche il motivo per il quale Conti, la sera del 14 agosto, carica nella chat un file di testo con all’interno un elenco con directory e nomi di file. La lista fa riferimento alla metà dei file esfiltrati durante le due settimane di permanenza all’interno della rete del St. Augustine. Nel .txt sono presenti oltre 63.000 file, gran parte di questi con un chiaro collegamento sia al personale accademico, sia a nomi di decine di studenti del College.
Il 16 di agosto il reparto IT fa un primo tentativo al ribasso e chiede a Conti di poter chiudere la trattativa pagando 75.000 $, una cifra considerata ridicola dal gruppo ransomware. 24 ore dopo il St. Augustine fa un secondo tentativo chiedendo di chiudere a 135.000 $.
Una buona offerta secondo i cybercriminali, ma ancora lontana da quanto avrebbero voluto incassare. Alla fine si accordano per una cifra di 150.000 $ in bitcoin, è a quel punto che il cybercriminale fornisce l’indirizzo del portafoglio sul quale versare i 3.3495 BTC.
Una volta verificato che il pagamentodel riscatto fosse andato a buon fine, il cybercriminale ha inserito nella chat il tool utile alla decrittazione delle macchine.
Dalle ricerche effettuate SuspectFile può stabilire che il pagamento del riscatto è stato ultimato la sera del 18 di agosto, così come possiamo essere certi del giorno in cui il gruppo di cybercriminali ha provveduto a spostare, su due portafogli BTC differenti, il denaro frutto del riscatto.
Un primo portafoglio da 0.334 BTC (circa 15.000 $) e un secondo di 3.015496BTC (135.000 $); entrambe le transazioni sono state registrate il giorno 19 agosto.
Cosa abbia spinto il St. Augustine College a pagare il riscatto non possiamo saperlo, forse la mancanza di un backup dei propri dati o forse anche il timore che la notizia del data breach fosse ripresa da organi di informazione.
La cosa certa è che nonostante la decisione di pagare i cybercriminali, i dati e l’albero dei file postati nella chat da Conti sono tutt’ora visibili e scaricabili da chiunque così come è ben visibile il nome della vittima.
In una prima email SuspectFile ha contattato sia il Presidente del College, che il responsabile Finanza e Tesoro del St. Augustine, il Direttore IT ad interim e il Direttore degli aiuti finanziari per una dichiarazione in merito. Nelle email inviate abbiamo anche chiesto se l’Accademia avesse o meno informato il proprio personale, gli studenti e gli organi di polizia del data breach che l’ha vista coinvolta.
Per correttezza questa mattina abbiamo inviato una seconda email per informare il St. Augustine College che l’articolo sarebbe stato inoltrato ad alcune testate giornalistiche online presenti nell’area della Città di Chicago.
Al momento non ci è stata fornita alcuna risposta.
Aggiorneremo l’articolo qualora dovessimo entrare in possesso di nuove informazioni sul caso.