Mount Royal University potwierdza naruszenie bezpieczeństwa po roszczeniach grupy wymuszającej okup - Security Bez Tabu

Mount Royal University potwierdza naruszenie bezpieczeństwa po roszczeniach grupy wymuszającej okup

Cybersecurity news

Wprowadzenie do problemu / definicja

Mount Royal University (MRU) w Calgary potwierdził incydent cyberbezpieczeństwa, w wyniku którego nieuprawniony podmiot uzyskał dostęp do części zasobów uczelni, wykradł dane, a następnie usunął część plików z systemów pamięci masowej. Sprawa wpisuje się w coraz częstszy model ataków typu data theft and extortion, w którym celem nie jest wyłącznie zaszyfrowanie infrastruktury, ale również kradzież informacji i wywieranie presji poprzez groźbę ich publikacji.

W skrócie

Atak na MRU został ujawniony po potwierdzeniu, że naruszono zasoby sieciowe uczelni wykorzystywane przez studentów i pracowników do przechowywania plików. Uczelnia wskazała, że dane z wybranych katalogów na dysku H zostały skopiowane przez nieautoryzowanego aktora. Dodatkowo usunięto dane z osobnego zasobu oznaczonego jako dysk J, co utrudnia proces odtworzenia środowiska i ocenę pełnej skali szkód. Do ataku przyznała się grupa CMD Organization, która opublikowała próbki rzekomo wykradzionych danych i zażądała 30 BTC okupu.

Kontekst / historia

Według ujawnionych informacji cyberatak dotknął MRU 17 czerwca 2026 roku i spowodował zakłócenia w działaniu usług online, dostępu do internetu oraz części systemów wewnętrznych. Po incydencie uczelnia zaangażowała własne zespoły techniczne oraz zewnętrznych ekspertów cyberbezpieczeństwa do analizy naruszenia i wsparcia procesu przywracania działania.

Z czasem potwierdzono, że incydent nie ograniczał się jedynie do niedostępności systemów. Dochodzenie wykazało, że atakujący uzyskali dostęp do danych przechowywanych na uczelnianym zasobie plikowym. Zakres danych miał obejmować informacje dotyczące obecnych i byłych studentów, obecnych i byłych pracowników oraz innych osób powiązanych z uczelnią. Równolegle grupa przestępcza rozpoczęła presję ekstorsyjną, publikując próbki dokumentów i deklarując gotowość sprzedaży pełnego zestawu danych.

Analiza techniczna

Z technicznego punktu widzenia incydent wygląda na połączenie naruszenia sieci, eksfiltracji danych oraz destrukcji zasobów plikowych. Najistotniejsze ustalenia wskazują, że:

  • atakujący uzyskali dostęp do folderów znajdujących się na dysku H, używanym przez studentów i pracowników do przechowywania plików,
  • dane z tych lokalizacji zostały skopiowane poza środowisko uczelni,
  • oryginalne kopie części danych zostały usunięte, prawdopodobnie w celu utrudnienia odzyskiwania i zwiększenia presji negocjacyjnej,
  • oddzielny zasób, oznaczony jako dysk J i wykorzystywany do danych wydziałowych lub departamentalnych, został skasowany, choć nie potwierdzono jego wcześniejszej eksfiltracji.

Taki schemat jest charakterystyczny dla nowoczesnych operacji wymuszeniowych. Zamiast polegać wyłącznie na ransomware w klasycznym znaczeniu, operatorzy często realizują tzw. podwójne wymuszenie: najpierw kradną dane, a następnie niszczą lub blokują dostęp do systemów, aby zwiększyć koszt operacyjny incydentu. Nawet jeśli nie dochodzi do masowego szyfrowania stacji i serwerów, sam fakt utraty poufności oraz dostępności danych stanowi poważne naruszenie bezpieczeństwa.

Szczególnie istotny jest element usunięcia danych źródłowych. Oznacza to, że organizacja musi równolegle prowadzić dwa kosztowne procesy: analizę naruszenia prywatności oraz odtwarzanie integralności środowiska. Jeżeli część danych nie była objęta odpowiednio odseparowanymi kopiami zapasowymi lub ich odtworzenie jest czasochłonne, skutki operacyjne mogą utrzymywać się tygodniami lub miesiącami.

Grupa CMD Organization, która przypisała sobie atak, miała zastosować model publikacji próbek danych oraz licytacyjnej sprzedaży informacji. To podejście zwiększa presję na ofiarę i podnosi ryzyko wtórnego wykorzystania danych przez kolejne podmioty, nawet jeśli pierwotny sprawca nie zdecyduje się na publiczny wyciek pełnego archiwum.

Konsekwencje / ryzyko

Dla uczelni wyższej skutki takiego incydentu są wielowymiarowe. Po pierwsze, dochodzi do ryzyka naruszenia danych osobowych i dokumentów o podwyższonej wrażliwości. Jeżeli wśród wykradzionych materiałów znajdują się skany dokumentów tożsamości, dane kadrowe, informacje studenckie lub dokumentacja administracyjna, rośnie prawdopodobieństwo kradzieży tożsamości, oszustw finansowych oraz ataków socjotechnicznych.

Po drugie, usunięcie danych z zasobów współdzielonych bezpośrednio wpływa na ciągłość działania organizacji. Uczelnia musi przywrócić dostęp do plików, zweryfikować integralność odzyskanych danych i zapewnić bezpieczny powrót usług do pracy. To z kolei może oznaczać długotrwałe przestoje, ograniczenia w pracy administracji, problemy z obsługą studentów oraz wzrost kosztów operacyjnych.

Po trzecie, incydent pociąga za sobą konsekwencje regulacyjne i reputacyjne. Organizacja musi współpracować z organami nadzorczymi i ścigania, prowadzić identyfikację osób poszkodowanych oraz przygotować indywidualne powiadomienia. W praktyce oznacza to długi proces ustalania, jakie dane były dostępne dla napastnika i jaki był rzeczywisty wpływ naruszenia na poszczególne osoby.

Rekomendacje

Dla instytucji edukacyjnych i innych organizacji zarządzających rozproszonymi zasobami plikowymi incydent ten stanowi ważne przypomnienie o konieczności wdrożenia wielowarstwowych mechanizmów ochronnych.

W pierwszej kolejności należy ograniczać możliwość lateral movement i nadmiernych uprawnień w środowisku plikowym. Segmentacja sieci, ścisła kontrola dostępu do udziałów, zasada najmniejszych uprawnień oraz regularne przeglądy kont uprzywilejowanych zmniejszają ryzyko rozległej kompromitacji.

Drugim filarem powinny być odporne kopie zapasowe. Backupy muszą być odseparowane logicznie lub fizycznie od środowiska produkcyjnego, testowane pod kątem odtwarzania i chronione przed usunięciem przez napastnika. W praktyce oznacza to stosowanie kopii niemodyfikowalnych, retencji offline oraz cyklicznych ćwiczeń disaster recovery.

Trzecim elementem jest monitoring eksfiltracji i destrukcji danych. Organizacje powinny wdrożyć korelację zdarzeń obejmującą nietypowy dostęp do udziałów plikowych, masowe operacje odczytu, archiwizację dużych wolumenów danych, anomalię transferów wychodzących oraz sekwencje wskazujące na usuwanie plików po wcześniejszym dostępie. Wysoką wartość mają również systemy klasy EDR, NDR i DLP.

W obszarze reagowania kryzysowego kluczowe są: gotowy plan IR, procedury odcięcia zaatakowanych segmentów, zabezpieczenie artefaktów śledczych, szybka współpraca z zespołami prawnymi oraz sprawna komunikacja z użytkownikami końcowymi. W środowiskach akademickich szczególnie ważna jest także kontrola kont użytkowników o wysokiej rotacji, takich jak konta studentów, pracowników tymczasowych i zewnętrznych współpracowników.

Dodatkowo organizacje powinny rozważyć:

  • wymuszenie MFA dla dostępu do systemów krytycznych i administracyjnych,
  • rotację poświadczeń po incydencie i przegląd relacji zaufania,
  • klasyfikację danych przechowywanych na współdzielonych zasobach,
  • szyfrowanie wrażliwych dokumentów oraz ścisły nadzór nad ich lokalizacją,
  • przygotowanie wzorców powiadomień dla osób, których dane mogły zostać naruszone.

Podsumowanie

Incydent w Mount Royal University pokazuje, że współczesne ataki wymuszeniowe coraz częściej łączą kradzież danych z ich usuwaniem, aby jednocześnie uderzyć w poufność, integralność i dostępność informacji. W przypadku MRU konsekwencje obejmują zarówno zakłócenia operacyjne, jak i ryzyko wycieku wrażliwych danych studentów oraz pracowników. Dla sektora edukacyjnego to kolejny sygnał, że bezpieczeństwo udziałów plikowych, odporność kopii zapasowych oraz zdolność do szybkiego wykrywania eksfiltracji powinny być traktowane jako priorytet strategiczny.

Źródła

  1. https://www.bleepingcomputer.com/news/security/mount-royal-university-confirms-breach-as-hackers-claim-attack/