At the expiry of the ultimatum imposed by LockBit 2.0 (LockBit), RESPONSIBLE FOR THE CYBER ATTACK ON THE IT SYSTEMS OF MERCYHURST UNIVERSITY IN ERIE, PENNSYLVANIA, it would be just under 5 hours but on the website of the ransomware group the name of the university has already been removed. LockBit had set the deadline for the payment of the ransom at 7:33 pm today May 22.
When does a ransomware group remove a victim’s name from their list?
There are generally two cases:
When a victim’s name is confused with another entity’s name, and it’s a mistake a ransomware group makes frequently
the victim, to avoid the publication of their data, decides to pay the ransom
SuspectFile.com has good reason to believe that LockBit got what it wanted and that to avoid the publication of data exfiltrated from its IT systems, Mercyhurst University has decided to pay the ransom.
After our May 17 article was published, the Erie News Now website also posted the news.
In the first part of the Erie News Now article we read that “in a message sent on Monday”, a message that neither SuspctFile.com nor DataBreaches.net have been able to find, the University President Dr. Kathleen Getz confirms the ransomware attack and the possible loss of data to the detriment of both students and employees of Mercyhurst.
Several Mercyhurst University servers were recently hit by ransomware, president Dr. Kathleen Getz said in a message sent Monday.
The attack affects both students and employees, Getz said. Multiple sources told Erie News Now the ransomware is impacting grades and financial aid.
Dr. Getz further states that
Officials are working with third-party forensic specialists to investigate the source of the issue, determine the impact on its systems and get everything back to normal as soon as possible
Statements that we have been able to read in dozens of other circumstances similar to this one and that fall within a “pre-packaged communication standard” used in cases of ransomware-type cyber attacks.
As DataBreaches.net reports in its article, the Pennsylvania Senate recently passed a bill banning the use of taxpayers’ money to pay a ransom.
A ban that would not apply in some cases:
- if the Governor of Pennsylvania agrees to pay the ransom
- in case the victim affected is a private entity
remember that Mercyhurst is a private university.
This morning, before the publication of this article, SuspectFile.com sent yet another e-mail in the hope (unfounded …) of a comment on the affair and on the recent developments.
This time the email was sent directly to Erie News Now and for information (more should increase the rate of a possible reply …) to Dr. Debbie Morton (Head of Contact Media Relations at Mercyhurst University), Dr. Scott MacDowell (News Director of Erie News Now) and Dr. Molly Somora (Reporter for Erie News Now).
Allo scadere dell’ultimatum imposto da LockBit 2.0 (LockBit), responsabile dell’attacco informatico ai sistemi IT della Mercyhurst University ad Erie in Pennsylvania, mancherebbero poco meno di 5 ore ma sul sito web del gruppo ransomware il nome dell’ateneo è stato già rimosso. LockBit aveva fissato il termine per il pagamento del riscatto alle 19:33 di oggi 22 maggio.
Quando un gruppo ransomware rimuove dalla propria lista il nome di una vittima?
Generalmente i casi sono due:
- Quando viene confuso il nome di una vittima con il nome di un’altra entità, ed è un errore che un gruppo ransomware commette di frequente
- la vittima, per evitare la pubblicazione dei propri dati, decide di pagare il riscatto
SuspectFile.com ha fondati motivi per credere che LockBit ha ottenuto ciò che voleva e che per evitare la pubblicazione dei dati esfiltrati dai propri sistemi IT, la Mercyhurst University ha deciso di pagare il riscatto.
Dopo la pubblicazione del nostro articolo del 17 maggio, anche il sito web di Erie News Now aveva pubblicato la notizia.
Nella prima parte dell’articolo di Erie News Now si legge che “in un messaggio inviato lunedì”, messaggio che né SuspctFile.com, né DataBreaches.net sono riusciti a trovare traccia, la Presidente dell’ateneo Dr. Kathleen Getz conferma l’attacco ransomware e la possibile perdita di dati ai danni sia degli studenti che dei dipendenti della Mercyhurst.
Several Mercyhurst University servers were recently hit by ransomware, president Dr. Kathleen Getz said in a message sent Monday.
The attack affects both students and employees, Getz said. Multiple sources told Erie News Now the ransomware is impacting grades and financial aid.
Dr. Getz inoltre afferma che “I funzionari stanno lavorando con specialisti forensi di terze parti per indagare sull’origine del problema, determinare l’impatto sui suoi sistemi e riportare tutto alla normalità il prima possibile”.
Officials are working with third-party forensic specialists to investigate the source of the issue, determine the impact on its systems and get everything back to normal as soon as possible
Dichiarazioni che abbiamo potuto leggere in decine di altre circostanze simili a questa e che rientrano in uno “standard di comunicazione preconfezionato” usato in casi di attacchi informatici di tipo ransomware..
Come riporta DataBreaches.net nel suo articolo, il Senato dello Stato della Pennsylvania ha recentemente approvato un disegno di legge che vieta l’utilizzo dei soldi dei contribuenti per il pagamento di un riscatto.
Un divieto che non si applicherebbe in alcuni casi:
- nel caso il Governatore della Pennsylvania dia parere favorevole al pagamento del riscatto
- nel caso la vittima colpita sia un’entità privata
ricordiamo che la Mercyhurst è un’Università privata.
Questa mattina, prima della pubblicazione di questo articolo, SuspectFile.com ha inviato l’ennesima e-mail nella speranza (non fondata…) di un commento sulla vicenda e sui recenti sviluppi.
Questa volta la e-mail è stata inviata direttamente all’Erie News Now e per conoscenza (abbondare dovrebbe aumentare la percentuale di una possibile risposta…) alla Dr. Debbie Morton (Head of Contact Media Relations at Mercyhurst University), Dr. Scott MacDowell (News Director of Erie News Now) e Dr. Molly Somora (Reporter for Erie News Now).