Atacul cibernetic de la Primăria Timişoara: Hackerii cer răscumpărare pentru datele furate. Unele sunt deja în vânzare pe Telegram
Specialistul în securitate cibernetică şi fondator al platformei stop-ransomware.ro, Bogdan Albei, a anunţat marţi pe Linkedin, că un grup de hackeri numit RansomHub a revendicat un atac cibernetic care a avut loc pe 26 august şi care a vizat, printre altele, Primăria Municipiului Timişoara, Direcţia Fiscală a Municipiului (DFMT) şi Poliţia Locală Timişoara.
Albei a precizat că hackerii au trecut deja la acţiune, punând în vânzare pe un canal de Telegram date cu caracter personal obţinute din sistemele afectate.
„Săptămâna trecută menţionam atacul de la Primăria Timişoara. În declaraţiile de presă, se preciza că nu există indicii că atacatorii ar fi extras date cu caracter personal din sistemele afectate. Ei bine, începând de astăzi, acestea sunt de vânzare pe Telegram”, a avertizat specialistul în securitate cibernetică într-un mesaj postat luni pe Linkedin.
Marţi, Albei a revenit cu un nou mesaj, informând că hackerii au furat 120 GB de date de la Primăria Timişoara şi cer o răscumpărare.
„Au exfiltrat doar 120 GB de date de la Primăria Timişoara. În zece zile, aceste date vor fi publicate dacă nu se plăteşte răscumpărarea. Cei de la RansomHub au revendicat atacul”, a spus acesta.
Context
Pe 26 august, Primăria Timişoara a emis un comunicat de presă în care anunţa că, alături de Direcţia Fiscală a Municipiului Timişoara (DFMT) şi Poliţia Locală Timişoara, a fost „ţinta unui atac cibernetic de tip ransomware asupra serverelor pe care rulează mai multe sisteme informatice”.
„Incidentul a avut loc în noaptea de vineri spre sâmbătă [23 spre 24 august - n.n.], şi a fost detectat de sistemul digital de securitate. Specialiştii primăriei au declanşat o serie de contra-măsuri radicale, cu ajutorul firmelor de specialitate contractate de municipalitate, astfel că a fost oprită compromiterea întregului sistem.
Nu există indicii că atacatorii au extras date cu caracter personal din sistemele afectate”, preciza comunicatul.
De asemenea, Primăria Timişoara anunţa că a raportat incidentul autorităţilor competente, iar atacul se află în prezent sub investigaţia experţilor în securitate cibernetică din cadrul Directoratului Naţional de Securitate Cibernetică (DNSC).
„Scopul atacului a fost criptarea şi blocarea sistemului informatic al primăriei. Este o formă de criminalitate cibernetică (ransomware) unde atacatorii cer apoi sume imense pentru deblocarea sistemelor. Primăria Timişoara, care, de altfel, a avut soluţii tehnice împotriva unor astfel de atacuri şi reacţie imediată, categoric nu răspunde la astfel de forme de şantaj.
Măsurile de resetare a sistemului au fost aplicate de specialiştii municipalităţii pe tot parcursul weekend-ului, iar primăria colaborează cu autorităţile responsabile din domeniul securităţii cibernetice pentru a asigura revenirea completă a funcţionalităţii sistemelor.
Toate serviciile online ale Primăriei funcţionează normal, de la Portalul Unic, la certificatele de urbanism, programările online la Evidenţa Populaţiei, sesizări şi bugetare participativă. Pentru reluarea serviciilor interne, măsurile sunt încă în derulare în colaborare cu DNSC.
Pentru Direcţia Fiscală a Municipiului Timişoara este temporar suspendată încasarea taxelor şi impozitelor locale online sau cu cardul la ghişeu. Plata se va putea face în numerar, la ghişeele DFMT şi la camera 12 a Primăriei, începând cu orele prânzului. La Poliţia Locală, sesizările online sunt suspendate temporar, fiind preluate în continuare telefonic, la dispecerat.
Investigaţia este în derulare, astfel că mai multe detalii vor fi comunicate la finalizarea acesteia”, informa Primăria Timişoara.
Cum acţionează grupul de hackeri RansmoHub
Un alt expert în securitate cibernetică, Manoj Mujumdar, a vorbit, luni, într-un articol postat tot pe Linkedin, despre grupul de hackeri RansmoHub, spunând că acesta ar fi fost înfiinţat în februarie 2024. De atunci, grupul ar fi făcut, potrivit afirmaţiilor guvernului american, circa 210 victime, din sectoare critice.
Potrivit lui Mujumdar, victimele acoperă diverse sectoare, inclusiv apă şi apă uzată, tehnologia informaţiei, servicii şi facilităţi guvernamentale, asistenţă medicală şi sănătate publică, servicii de urgenţă, alimentaţie şi agricultură, servicii financiare, facilităţi comerciale, producţie critică, transport şi infrastructură critică de comunicaţii.
„RansomHub este o variantă de Ransomware-as-a-Service - cunoscută anterior sub numele de Cyclops şi Knight - care s-a stabilit ca un model de serviciu eficient şi de succes (atrăgând recent afiliaţi de profil înalt de la alte variante proeminente precum LockBit şi ALPHV)”, au declarat agenţiile guvernamentale.
O variantă de Ransomware-as-a-Service (RaaS) care este un descendent al Cyclops şi Knight, operaţiunea de criminalitate electronică a atras afiliaţi de profil înalt din alte variante proeminente, cum ar fi LockBit şi ALPHV (aka BlackCat), în urma unui val recent de acţiuni de aplicare a legii.
ZeroFox, într-o analiză publicată la sfârşitul lunii trecute, a declarat că activitatea RansomHub ca proporţie din întreaga activitate ransomware observată de furnizorul de securitate cibernetică se află pe o traiectorie ascendentă, reprezentând aproximativ 2% din toate atacurile în Q1 2024, 5,1% în Q2 şi 14,2% până în prezent în Q3.
„Aproximativ 34% din atacurile RansomHub au vizat organizaţii din Europa, comparativ cu 25% în întregul peisaj al ameninţărilor”, a precizat compania.
Grupul este cunoscut pentru faptul că utilizează modelul de extorcare dublă pentru a exfiltra date şi a cripta sisteme în scopul extorcării victimelor, care sunt îndemnate să contacteze operatorii prin intermediul unui URL .onion unic. Întreprinderile vizate care refuză să accepte cererea de răscumpărare îşi văd informaţiile publicate pe site-ul de scurgere de date pentru o perioadă cuprinsă între trei şi 90 de zile.
Accesul iniţial la mediile victimelor este facilitat prin exploatarea vulnerabilităţilor de securitate cunoscute în dispozitivele Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) şi Fortinet FortiClientEMS (CVE-2023-48788), printre altele.
Această etapă este urmată de efectuarea de către afiliaţi a recunoaşterii şi a scanării reţelei cu ajutorul unor programe precum AngryIPScanner, Nmap şi alte metode de tip „Living-off-the-Land” (LotL). Atacurile RansomHub implică în continuare dezarmarea programelor antivirus cu ajutorul unor instrumente personalizate pentru a trece neobservate.
„În urma accesului iniţial, afiliaţii RansomHub au creat conturi de utilizator pentru persistenţă, au reactivat conturile dezactivate şi au utilizat Mimikatz pe sistemele Windows pentru a aduna acreditările [T1003] şi a escalada privilegiile la SYSTEM. Afiliaţii s-au deplasat apoi lateral în interiorul reţelei prin metode care includ Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit sau alte metode de comandă şi control (C2) utilizate pe scară largă”, se arată în avizul guvernului SUA.
Un alt aspect notabil al atacurilor RansomHub este utilizarea criptării intermitente pentru a accelera procesul, exfiltrarea datelor fiind observată prin instrumente precum PuTTY, buckets S3 din Amazon AWS, cereri HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit şi alte metode.
Această evoluţie vine în contextul în care unitatea 42 a Palo Alto Networks a dezvăluit tacticile asociate cu ransomware-ul ShinyHunters, pe care îl urmăreşte sub numele de Bling Libra, subliniind trecerea acestuia la extorcarea victimelor, spre deosebire de tactica lor tradiţională de vânzare sau publicare a datelor furate. Actorul ameninţării a ieşit pentru prima dată la iveală în 2020.
„Grupul dobândeşte acreditări legitime, provenite din depozite publice, pentru a obţine accesul iniţial la mediul Amazon Web Services (AWS) al unei organizaţii. Deşi permisiunile asociate acreditărilor compromise au limitat impactul breşei, Bling Libra s-a infiltrat în mediul AWS al organizaţiei şi a efectuat operaţiuni de recunoaştere. Grupul de actori de ameninţare a utilizat instrumente precum Amazon Simple Storage Service (S3) Browser şi WinSCP pentru a aduna informaţii privind configuraţiile bucketurilor S3, a accesa obiecte S3 şi a şterge date”, au declarat cercetătorii în securitate Margaret Zimmermann şi Chandni Vaya.
Aceasta urmează, de asemenea, o evoluţie semnificativă a atacurilor ransomware, care au depăşit criptarea fişierelor pentru a utiliza strategii de extorcare complexe, cu mai multe faţete, folosind chiar scheme de extorcare triple şi cvadruple, conform SOCRadar.
„Extorcarea triplă creşte miza, ameninţând cu mijloace suplimentare de perturbare dincolo de criptare şi exfiltrare. Aceasta ar putea implica efectuarea unui atac DDoS împotriva sistemelor victimei sau extinderea ameninţărilor directe la clienţii, furnizorii sau alţi asociaţi ai victimei pentru a provoca daune operaţionale şi reputaţionale suplimentare celor vizaţi în cele din urmă în schema de extorcare”, a declarat compania.
Extorcarea cvadruplă creşte miza prin contactarea unor terţe părţi care au relaţii de afaceri cu victimele şi prin extorcarea acestora sau prin ameninţarea victimelor de a expune date de la terţe părţi pentru a exercita presiuni suplimentare asupra victimei pentru a plăti.
Natura profitabilă a modelelor RaaS a alimentat o creştere a numărului de noi variante de ransomware, precum Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye şi Insom. De asemenea, a determinat actorii naţionali iranieni să colaboreze cu grupuri cunoscute precum NoEscape, RansomHouse şi BlackCat în schimbul unei părţi din veniturile ilicite.