Atak na MPK Kraków. "Międzynarodowa grupa hakerska"

3 grudnia MPK Kraków poinformowało na swojej stronie na Facebooku o „awarii informatycznego systemu sprzedażowego biletów”. Niestety przestój w funkcjonowaniu systemu nie był spowodowany błędem w systemie, lecz cyberatakiem na infrastrukturę Miejskiego Przedsiębiorstwa Komunikacyjnego. Obecnie nieznani są sprawcy ataku oraz to, czy jakiekolwiek dane osobowe zostały wykradzione przez cyberprzestępców.

Obecne skutki ataku

Na tym etapie nie można określić tego, jakie skutki będzie miał ten incydent w przyszłości. Wiadomo jednak, że w krakowskiej komunikacji miejskiej występują problemy z zakupem biletów oraz strona MPK nie działa.

”Przypominamy, że cały czas bilety okresowe można kupić w aplikacji mobilnej iMKA oraz w automatach zamontowanych w pojazdach i w automatach biletowych KKM – w tych urządzeniach można płacić kartą płatniczą oraz gotówką. W przypadku chęci zakupu biletów do kasowania można to zrobić także w aplikacjach mobilnych (mPay, iMKA, moBiLET, SkyCash, jakdojade lub zbiletem.pl, bilety wspólne 70-minutowe w aplikacjach: iMKA oraz mPay). Kontrolerzy biletów podczas kontroli w tramwajach i autobusach respektują wszelkie potwierdzenia płatności, w tym mailowe” - informuje oficjalna strona Urzędu Miasta w Krakowie.

W komunikacie przekazano również, że działanie zajezdni oraz stacji obsługi jest niezakłócone oraz przewozy pasażerów odbywają się w normalnym trybie.

„Jednocześnie trwają prace nad etapowym uruchamianiem systemów informatycznych, z uwzględnieniem najwyższego poziomu bezpieczeństwa. Spółka w tym zakresie współpracuje ze specjalistycznymi firmami, dostawcami usług informatycznych oraz jednostkami Urzędu Miasta Krakowa” - dodaje krakowski urząd.

Atak ransomware?

W komunikatach przekazanych przez MPK oraz Miasto Kraków nie pada słowo „ransomware”, lecz niestety wiele wskazuje na to, że właśnie tego rodzaju atak został przeprowadzony na krakowskie MPK.

W ogłoszeniach można przeczytać, że za cyberatak odpowiada ”międzynarodowa grupa hakerska przeprowadzająca na zlecenie ataki na przedsiębiorstwa”, co wskazuje na tzw. ransomware-as-a-service (RaaS).

ComCert opisuje to w następujący sposób: „model biznesowy dla przedsiębiorstw przestępczych, który umożliwia zarejestrowanie się i korzystanie z narzędzi do przeprowadzania ataków ransomware. Jest to nielegalna usługa wynajmu ransomware, czyli złośliwego oprogramowania. Składa się z wielu zestawów służących do kradzieży, szyfrowania, włamywania się do sieci prywatnych/firmowych, a także do żądania zapłaty.”

Niebezpiecznik w poście na X wskazuje wprost, że MPK Kraków padło ofiarą ransomware.

„To oznacza, że zostali trafieni ransomwarem. W najlepszym przypadku dane zostały zaszyfrowane i zostaną odtworzone z kopii bezpieczeństwa, co zajmie trochę czasu. W najgorszym - i ten obstawiamy - co najmniej część danych MPK została wykradziona i jeśli MPK nie wpłaci okupu, dane mieszkańców Krakowa zostaną przez włamywaczy upublicznione” - przekazano w wpisie.

Podkreślono również to, że jeżeli ktokolwiek używał hasła wykorzystywanych do dostępu usług świadczonych przez MPK - należy je natychmiastowo zmienić.

Nie pierwszy taki atak. Komentarz eksperta

Administracja publiczna w Polsce jest co jakiś atakowana przez cyberprzestępców z wielu różnych grup ransomware. W sierpniu informowaliśmy o ataku na Powiatowy Urząd Pracy w Policach, a dwa miesiące temu pisaliśmy o podobnym incydencie w Urzędzie Gminy w Sokołowie Podlaskim.

Warto również wspomnieć, że nadal nie wyjaśniono w pełni incydentu w Starostwie Powiatowym w Jędrzejowie. Grupa RansomHub groziła wyciekiem danych ponad 60 tys. osób.

O ataku wypowiedział się Aleksander Kostuch, inżynier Stormshield: „To kolejny podobny przykłada w ostatnich latach. W lutym 2023 roku ofiarą przestępców padł system ŚKUP (Śląska Karta Usług Publicznych). Wykorzystali oni wówczas fakt, że system bazował na starych rozwiązaniach serwerowych. W efekcie ataku przestały działać portal, aplikacja Mobilny ŚKUP, System Dynamicznej Informacji Pasażerskiej oraz kasowniki biletów z czytnikami kart. Użytkownicy komunikacji publicznej uruchamianej przez GZM byli proszeni o samodzielne kasowanie papierowych biletów, poprzez wpisanie na nich długopisem daty i godziny przejazdu oraz kasowanie ich w kasownikach dziurkujących.

Te incydenty pokazują jak wielkie jest zagrożenie ze strony przestępców, chcących sparaliżować funkcjonowanie naszego społeczeństwa. Grupy atakujące elementy infrastruktury krytycznej często są motywowane politycznie. Administracja publiczna chętnie korzysta z dobrodziejstw cyfryzacji, jednak wiele instytucji wciąż pozostaje niedofinansowanych w obszarze IT. (…)

Choć nie sposób obecnie ocenić co mogło być wektorem ataku w Krakowie, to z perspektywy eksperta cyberbezpieczeństwa można powiedzieć, że do zabezpieczania tej sfery kluczowe jest nie tylko wdrożenie odpowiednich rozwiązań technicznych np. firewalli i segmentacji firmowych sieci, lecz także nieustanne podnoszenie kompetencji pracowników. Brak właściwych zabezpieczeń i ludzkie błędy są jednymi z najczęstszych sposobów na skuteczny atak.”

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].