Kolejny atak ransomware na urząd pracy

W sierpniu 2024 roku informowaliśmy o ataku RansomHub na Powiatowy Urząd Pracy w Policach. Wówczas cyberprzestępcy upublicznili wykradzione pliki, w tym również te zawierające dane osobowe. Nie udało im się uzyskać dostępu do kluczowego systemu.

Podobna sytuacja miała miejsce w styczniu br., kiedy RansomHub zaatakował PUP w Bartoszycach. Tamtejszy urząd wydał oświadczenie dotyczący incydentu. Cyberprzestępcy dotychczas „nie pochwalili się” tym na swoim blogu.

Warto również przypomnieć, że w 2023 r. miał miejsce podobny incydent, którego ofiarą był Powiatowy Urząd Pracy w Kazimierzy Wielkiej. „Zaszyfrowane zostały wszystkie informacje znajdujące się w bazie danych osobowych. Niewykluczone, że incydent jest związany z próbą wyłudzenia pieniędzy za odkodowanie dysków komputera” – przekazało Radio Kielce.

PUP Żory ofiarą ataku

„Powiatowy Urząd Pracy w Żorach, pomimo posiadania zabezpieczeń oraz procedur mających na celu ochronę danych osobowych, padł ofiarą ataku hakerskiego typu ransomware” – czytamy w zawiadomieniu na stronie żorskiego Urzędu. Przekazano, że 31 marca stwierdzono „włamanie na serwery urzędu” wraz ze skasowaniem i zaszyfrowaniem danych. O sprawie zawiadomiono odpowiedni CSIRT, Policję oraz UODO.

Oświadczenie wydano dwa dni po wykryciu zdarzenia – takie tempo działania mogłoby być wzorem dla niektórych przedsiębiorstw. Co ważne, kluczowe usługi miały zostać nienaruszone, tak jak w przypadku ataku na PUP Police oraz PUP Bartoszyce.

„Podstawowe serwery, na których znajdowały się systemy dziedzinowe urzędu zostały dotknięte atakiem. Nie stwierdzono naruszenia integralności danych” – stwierdzono w komunikacie.

Zakres danych, które mogły ulec naruszeniu ochrony, jest identyczny jak w przypadku ataku na PUP Bartoszyce. Oznacza to, że cyberprzestępcy mogli wykraść:

• imię i nazwisko;
• imiona rodziców;
• datę urodzenia;
• numer rachunku bankowego;
• adres zamieszkania lub pobytu;
• numer PESEL;
• adres e-mail;
• dane dot. zarobków lub majątku;
• serię i numer dowodu osobistego;
• numer telefonu.

Cyberprzestępcy chwalą się atakiem. Czy to prawda?

Informacje o zaatakowaniu PUP w Żorach dodała na swoją stronę grupa NightSpire. Twierdzą, że udało im się wykraść 40 GB danych. Rzekoma publikacja plików ma mieć miejsce o północy 18 kwietnia (Wielki Piątek).

Postanowiliśmy sprawdzić dowody ataku. NightSpire nie dołączyło żadnych plików, które potwierdzałyby ich twierdzenia. W katalogu „14pup.pl” znajduje się jedynie plik tekstowy niezawierający żadnych ważnych informacji. Oznacza to, że obecnie nie można wykluczyć tego, że cyberprzestępcy przypisują sobie działanie innej grupy.

Weryfikacja twierdzeń NightSpire może mieć miejsce w momencie publikacji faktycznych dowodów (lub ich braku). Na podstawie dotychczasowej wiedzy nie można jednoznacznie przypisać tego działania do wspomnianej grupy.

„Miękkie podbrzusze”

To trzeci taki atak w przeciągu siedmiu miesięcy. Podmioty publiczne w Polsce są nieustannie atakowane przez cyberprzestępców, o czym mówił wicepremier Krzysztof Gawkowski podczas konferencji poświęconej programowi „Cyberbezpieczny Rząd”. Wspomniał również, że samorządy to niezmiennie „miękkie podbrzusze cyberbezpieczeństwa”.

Należy przy tym podkreślić, że cyberprzestępcom podczas ataków na PUP-y nie udawało się uzyskać dostępu do kluczowych zasobów z racji na zastosowane zabezpieczenia (takie jak np. skomplikowane hasło dostępowe do plików).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].