Cyberbezpieczeństwo
Niecodzienne ataki nowej grupy ransomware
Ataki grup ransomware na organizacje rządowe nie występują codziennie. Nietypowe podejście prezentuje Funksec, które w grudniu br. wylistowało sześć takich witryn. Techniki działania grupy różnią się od innych grup ransomware.
Grupa Funksec powstała na początku grudnia 2024 roku. Według ransomware.live, od tego czasu dodała 86 organizacji na listę ofiar, przy czym sześć z nich było portalami rządowymi. W niektórych przypadkach cyberprzestępcy nie publikują danych z wycieku, lecz sprzedają dostęp do samego serwisu, co jest niecodzienną praktyką.
Wycieki oraz sprzedawanie danych
14 grudnia cyberprzestępcy wystawili na sprzedaż dostęp administratora do witryny stolicy Macedonii Północnej (skopje.gov.mk). Wyceniono go na dwa tysiące dolarów. Nie wiadomo, czy znalazł się chętny na zakup.
Kilka dni później z bloga grupy można było pobrać zdjęcia paszportowe kilkunastu tysięcy Nigeryjczyków ze stanu Ekiti, które pochodziły z rządowej witryny (ekitistate.gov.ng). Kolejnym celem Funksec była Mongolia – udało im się uzyskać dostęp do Centrum Rozwoju Transportu (rtdc.gov.mn). Jako dowód ataku dołączyli zrzut z panelu zawierający m.in. adresy e-mail. Dostęp do mongolskiego portalu wyceniono na tysiąc dolarów.
Czytaj też
Kolejnymi celami cyberprzestępców były witryny z Pakistanu (odpowiednik GUS, pbos.gov.pk), Zjednoczonych Emiratów Arabskich (centrum transportowe, itc.gov.ae) oraz Kambodży (departament identyfikacji, news.gdi.gov.kh). Dostęp do dwóch pierwszych organizacji został wyceniono odpowiednio na 3 tys. oraz tysiąc dolarów.
Podsumowanie
Zastanawiające jest to, że cyberprzestępcy nigdzie nie informują o szyfrowaniu przed eksfiltracją danych. Obecnie nieznane jest pochodzenie grupy oraz jej ew. powiązania z krajami autorytarnymi. Na pewno warto zaznaczyć, że wiele ofiar grupy znajduje się w krajach tzw. globalnego Południa, czyli mniej rozwiniętych gospodarczo.
Red Pirahna dodała IOC(ang. Indicators of compromise, dosł. wskaźniki przełamania zabezpieczeń) związane z grupą, co może być przydatne dla osób odpowiedzialnych za cyberbezpieczeństwo. Adresy IP wykorzystywane przez cyberprzestępców pochodzą z Peru, Francji i Niemiec.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany