Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Hackerii RansomHub fură și criptează datele Primăriei Sectorului 5, cer $1 milion

Gruparea ransomware RansomHub a criptat și furat datele de pe serverele Primăriei Sectorului 5, cerând $1 milion în schimbul cheii de decriptare a informației și pentru a nu o face publică.

Atacul a fost descoperit în dimineața zilei de 26 octombrie, când angajații primăriei au observat că centrala telefonică nu mai funcționa.

”A fost sesizată societatea care se ocupă de mentenanță pentru a remedia problema și s-a constatat că serverele Primăriei Sectorului 5 au fost atacate cibernetic,” instituția informează într-un mesaj pe Facebook.

Conform analizei, hackerii au compromis doar serverele sediului Primăriei Sectorului 5 din Fabrica de Chibrituri. Calculatoarele altor direcții de la alte adrese nu sunt afectate.

RansomHub negociază de la $1 milion

Hackerii avertizează instituția în mesajul de răscumpărare să nu apeleze la intermediari pentru negocieri pentru a nu plăti mai mult.

”Cunoaștem cazuri în care companii intermediare au spus clientului că recuperarea datelor se poate face plătind $5 milioane, dar în secret negociau cu noi pentru suma de $1 milion, ca să câștige ei $4 milioane,” spune RansomHub în notificarea către Primăria Sectorului 5.

Pentru a pune presiune în speranța primirii banilor, atacatorul ransomware a amenințat cu publicarea datelor furate dacă nu se plătește răscumpărarea și/sau cu livrarea partenerilor și clienților, pentru impact asupra reputației.

În schimbul unui milion de dolari americani, RansomHub garantează decriptarea sistemelor și recuperarea datelor în maxim 24 de ore, să nu informeze despre atac pe nimeni din afara ”companiei”, ștergerea informației furate de pe serverele lor, și consultanță pentru a proteja organizația de atacuri asemănătoare.

”După negocierea unei plăți și efectuarea ei, nu va fi nicio știre negativă despre organizație. În caz contrar, organizația va avea de suferit.”

Cerere respinsă

Primăria Sectorului 5 a răspuns printr-un refuz categoric de a se conforma cerințelor RansomHub, Cristian Popescu Piedone spunând că nu va ”ceda în fața unor astfel de atacuri și nu voi plăti suma cerută de teroriștii cibernetici”.

Instituția a contactat ministerul Cercetării, Inovării și Digitalizării și Directoratul Național de Securitate Cibernetică (DNSC) pentru instrucțiuni în vederea restaurării serverelor și a datelor furate.

Nu s-au făcut declarații referitoare la metoda folosită de hackeri pentru a obține accesul inițial pe rețeaua Primăriei Sectorului 5.

Primăria Sectorului nu figurează deocamdată pe site-ul de victime al grupării RansomHub. De obicei, hackerii publică datele furate de la victimele care refuză să plătească răscumpărarea negociată.

Nici atacatorul și nici Primăria Sectorului 5 al capitalei nu a menționat ce tip de date au fost sustrase de pe servere sau dacă există copii de siguranță pentru restaurare.

Hackerii RansomHub ransomware

RansomHub a apărut la începutul anului, în februarie, și operează după modelul ”serviciu ransomware” (RaaS – ransomware-as-a-service), creând o rețea de parteneri (afiliați) care au compromis cel puțin 210 organizații, în special din Statele Unite.

Hackerii nu au preferințe in ceea ce privește domeniul de activitate al victimelor, atacând organizații din diverse sectoare: IT, servicii guvernamentale, medical, servicii de urgență, financiar, agricultură, comercial, transport, manufacturier, infrastructură critică.

După furtul datelor, gruparea extorchează victimele amenințând cu publicarea online sau vânzarea lor unui terț care oferă cel mai bun preț.

Pentru a obține acces inițial în rețeaua vizată, hackerii RansomHub de obicei se folosesc de phishing, exploatează diverse vulnerabilități cu severitate ridicată în sisteme critice ale organizației, password spraying, sau cumpărând date de logare de la alți hackeri.

Conform unui buletin de securitate publicat in august de către CISA (agenția americană pentru apărare cibernetică) printre vulnerabilitățile critice exploatate in atacuri ransomware atribuite grupării RansomHub se numără:

  • CVE-2020-1472 – (Zerologon) vulnerabilitate in Netlogon ce permite escaladarea permisiunilor la nivel de administrator de domeniu
  • CVE-2020-0787 – escaladarea privilegiilor in Windows Background Intelligent Transfer Service (BITS)
  • CVE-2017-0144 – serverul SMBv1 permite execuția de cod arbitrar (EternalBlue exploit)
  • CVE-2023-48788 – afectează Fortinet FortiClientEMS și permite execuție neautorizată de cod sau comenzi
  • CVE-2023-46747 – vulnerabilitate în utilitarul de configurare BIG-IP ce permite execuția de cod de la distanță (RCE – remote code execution) fără autentificare
  • CVE-2023-46604 – Marshallerul de protocol Java OpenWire este vulnerabil la executarea codului de la distanță, permite executare de comenzi shell
  • CVE-2023-27997 – vulnerabilitate in FortiOS, permite execuția de cod sau comenzi de la distanță
  • CVE-2023-3519 – afectează Citrix ADC, permite RCE cu permisiuni root
  • CVE-2023-22515 – afectează Confluence Data Center and Server, permite crearea de conturi de administrator și acces la instanțe Confluence

Buletinul de securitate al agenției americane cuprinde un set de indicatori ce pot fi folosiți pentru a detecta atacuri ale grupării RansomHub.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna