Vijfenzestig Australische overheidsdepartementen en -agentschappen zijn het slachtoffer geworden van een cyberaanval op advocatenkantoor HWL Ebsworth, zo heeft de National Cyber Security Coordinator onthuld.
In een toespraak op maandag onthulde Air Marshal Darren Goldie ook dat sommige mensen en klanten met persoonlijke gegevens die aan de hack zijn blootgesteld, nog niet op de hoogte zijn gesteld.
De aan Rusland gelieerde ransomwaregroep ALPHV/BlackCat heeft in april een advocatenkantoor gehackt. Eerder deze maand gaf de groep 1,1 TB aan gegevens vrij die zij beweerden te hebben gestolen; later bleek dat het om 3,6 TB aan gegevens ging.
In juni suggereerde Guardian Australia’s analyse van meer dan 1.000 HWL Ebsworth-contracten op AusTender in de afgelopen tien jaar dat minstens 60 afdelingen of overheidsinstanties die gebruik maakten van de diensten van het bedrijf mogelijk betrokken waren bij de hack.
Goldie bevestigde maandag dat 65 agentschappen bij het incident betrokken waren.
“Op 18 september 2023 werden in totaal 65 Australische overheidsinstanties, als directe klanten van het bedrijf via zijn juridische en adviesdiensten, getroffen. Een groot aantal klanten uit de particuliere sector werd ook getroffen”, zei hij.
“Ik benadruk dat deze bureaus klanten waren van HWL Ebsworth en zelf niet te maken kregen met een cyberincident.”
Goldie zei dat het na 16 weken steun een “gepast moment” was om de formeel gecoördineerde reactie van de Australische regering op het incident te beëindigen, “waarbij HWL Ebsworth nu in staat is haar reactie te beheren zonder formele hulp van de Australische regering”.
Hij zei dat individuele instanties de getroffen klanten zouden blijven helpen en dat de onderzoeken door de Australische federale politie en de politie van Victoria zouden worden voortgezet.
Goldie zei dat hij nu een evaluatie zou leiden met HWL Ebsworth en belanghebbenden van federale, staats- en territoriumregeringen over de lessen die uit het incident zijn geleerd, om informatie te verschaffen over de manier waarop regeringen reageren op toekomstige aanvallen.
Guardian Australia meldde in juni dat de National Disability Insurance Agency bezig was vast te stellen of zijn gevoelige klantgegevens waren gehackt, waarbij HWL Ebsworth de NDIA vertegenwoordigde in beroepszaken.
Tijdens een toespraak op een top georganiseerd door de Australian Financial Review op maandag bevestigde Goldie dat klanten waren betrapt, maar onthulde dat hij zich ervan had weerhouden het publiek snel op de hoogte te stellen om te voorkomen dat er angst ontstond onder de mogelijk getroffenen.
na het promoten van de nieuwsbrief
“Hoewel het enig voordeel heeft om die informatie vroegtijdig in het publieke domein te brengen, heb ik de beslissing genomen om HWL Ebsworth toe te staan individuen eerst via NDIS-aanbieders en verzorgers op de hoogte te stellen voordat de informatie publiekelijk wordt vrijgegeven”, zei hij.
Hij bevestigde ook dat de Australische federale politie en het ministerie van Binnenlandse Zaken het slachtoffer waren van hacking en dat de instanties verantwoordelijk waren voor het onderzoek.
Een woordvoerder van HWL Ebsworth zei dat het bedrijf de voltooiing naderde van de beoordeling van de informatie in de hack en probeerde de getroffenen zo snel mogelijk op de hoogte te stellen.
“Dit was geen eenvoudige of snelle taak, aangezien de dataset groot en ongestructureerd is en een complexe mix van verschillende soorten documenten en informatie bevat”, aldus de woordvoerder. “We blijven ons er echter van bewust dat klanten en andere mogelijk getroffen individuen en partijen bezorgd zullen zijn om te begrijpen welke gegevens van hen getroffen zijn.” We naderen het einde van dat proces.”
Goldie zei dat er in totaal ongeveer 2,5 miljoen documenten zijn opgenomen, waarvan er ongeveer een miljoen op het dark web zijn gepubliceerd.
Het bedrijf heeft een geheimhoudingsbevel gekregen van het Hooggerechtshof van New South Wales in een poging de verspreiding van gegevens op het dark web te voorkomen. De zaak tegen de onbekende hackers zal naar verwachting begin november voor de rechtbank verschijnen.
Volgens een recent onderzoek van cyberbeveiligingsbedrijf Palo Alto Networks behoorde BlackCat tot de drie grootste ransomwaregroepen die zich op Australië richtten. De groep werd betaald om anderen te hacken en is sinds eind 2021 actief. Cybersecuritybedrijf Sophos zei dat de groep zich consequent op grote organisaties richtte.