Atak na Okręgową Izbę Pielęgniarek i Położnych w Gdańsku. Mamy komentarz

Informacja o ataku pojawiła się 16 września na blogu RansomHub. Cyberprzestępcy ustalili datę publikacji na 30 września o 14:00, lecz nie dotrzymali wspomnianego terminu – dane pochodzące z OIPiP ukazały się dopiero 1 października. Jako dowód ataku dołączono dokumenty niezawierające poufnych informacji.

Dane z wycieku

Cyberprzestępcy wykradli i opublikowali przede wszystkim pliki, które nie zawierają żadnych poufnych informacji. Zdecydowana większość z nich pochodzi sprzed kilkunastu lat i nie zawierają aktualnych danych.

Niestety w niektórych katalogach można znaleźć pliki zawierające m.in. numery dowodów osobistych, adresy zamieszkania, numery telefonów oraz numery PESEL.

„Komplet danych" kilkudziesięciu osób

W jednym z plików znajdują się dane 38 osób, takie jak:

• Imię i nazwisko;
• Nazwisko panieńskie;  
• Imię ojca;      
• Data i miejsce urodzenia; 
• PESEL;
• Adres zamieszkania oraz adres do korespondencji;
• Numer telefonu komórkowego;
• Wykształcenie oraz numer prawa wykonywania zawodu.

Stanowisko OIPiP

Zapytaliśmy OIPiP o komentarz w sprawie. Inspektor Ochrony Danych niezwłocznie odpowiedział na nasze pytania.

Oskar Klimczuk, CyberDefence24: Jakie zabezpieczenia były wykorzystywane w organizacji, które najprawdopodobniej zostały przełamane?

Inspektor Ochrony Danych: Fortinet Fortigate Firewall, Cisco AM4P, Cisco Umbrella, ESET. (Poza ESET’em w wymienione zabezpieczenia uzbroiła nas firma NETFORMERS, która to również jest odpowiedzialna za ich prawidłowe funkcjonowanie).

Jakie działania zostały podjęte we współpracy z CBZC?

CBZC zabezpieczyło zaszyfrowane dyski celem sklonowania ich, by spróbować odnaleźć ślady sprawców.

Jakie są podejrzenia odnośnie kraju pochodzenia atakujących?

CBZC podejrzewa, iż sprawcy są z krajów wschodnich (Rosja/Ukraina).

Jakie dane wyciekły do sieci i jak wiele z nich było uprzednio dostępnych w sieci?

Większość danych to dane jawne, jednak znalazły się tam pliki z lat 2009-2010 i starsze, które zawierały dane osobowe.

Czy miał miejsce wyciek danych osobowych? Jeżeli tak, to jakie i w jakiej skali?

Tak, wyciekły dane osobowe w liczbie około 100 osób, na chwilę obecną tyle odnaleźliśmy w skradzionych plikach.

Czy planowane jest poinformowanie osób, których dotyczy wyciek danych?

Tak, wszystkie osoby zostaną poinformowane.

Jakie dane zostały nienaruszone przez atakujących?

Zostały naruszone dane znajdujące się na dwóch komputerach, jesteśmy w trakcie analizy wszystkich plików. 

Czy ustalono wektor ataku?

Została zatrudniona firma świadcząca usługi analiz powłamaniowych oraz red-teamingu, która jest w trakcie analizy.

Czy poddano analizie dane znajdujące się na blogu RansomHub?

Tak.

Jakie dalsze działania są planowane przez OIPiP?

Powiadomiliśmy o incydencie UODO, CBZC, wynajęta została firma od red-teamingu. Dodatkowo jesteśmy w trakcie analizy wszystkich plików, które wyciekły i będziemy sukcesywnie informować osoby, których dane dotyczą. 

OK: Czy wystąpiła prośba o okup? Jeżeli tak, to ile wynosił?

Tak, okup wynosił 100 tys. dolarów amerykańskich w Bitcoinach.

Ataki RansomHub na Polskę

To już trzeci atak RansomHub na polskie organizacje w ciągu ostatnich trzech miesięcy. Wcześniej ofiarami tej grupy cyberprzestępców padło PGD oraz Powiatowy Urząd Pracy w Policach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].