Ransomware támadásban lehet érintett a Védelmi Beszerzési Ügynökség
Egyelőre még nem erősítették meg az érzékenynek tűnő adatok hitelességét, de amennyiben valósak, az incidenst komoly reputációs és pénzügyi károk követhetik.
Eddig nem erősítette meg, ugyanakkor nem is cáfolta a Védelmi Beszerzési Ügynökség (VBÜ), hogy ransomware támadás áldozatává vált, amire az Inc Ramsom csoport nyilvános oldalán figyeltek fel magyar biztonsági szakértők a listázott áldozatok közt. A VBÜ egy kiemelt jelentőségű magyarországi szervezet, amely a Magyar Honvédség és más állami védelmi intézmények számára biztosít beszerzési és logisztikai támogatást, közvetlenül a Honvédelmi Minisztérium alá tartozik. A zsarolóvírus-támadásról Frész Ferenc és Béres Katalin kiberbiztonsági szakértők tettek közzé elemzést, mely teljes egészében itt olvasható.
Az Inc Ransom az áldozatait gyűjtő oldalán november 6-án tette közé a „bvuzrt.hu" címet is, és ugyan a lista onion szolgáltatásokon keresztül érhető el a Tor hálózaton, a csoport onion oldalának linkje számos publikus weboldalon is megtalálható, így bárki számára elérhető. Az Inc Ransom csoport eddig 46, általa bizonyítékként megnevezett screenshotot tett közzé, melyek a képek tartalma alapján a VBÜ-höz tartozó nem publikus rendszerekből származhatnak.
Ezek között mappastruktúrák és fájllisták szerepelnek, amelyek elérési útvonalai alapján az alábbi rendszerek és adatok lehetnek érintettek: felhasználói mappák, Andoc iratkezelő rendszer adatbázisai és mentései, szenzitív pénzügyi dokumentumok, levelezése, katonai dokumentumok, köztük például a Honvédelmi Haderőfejlesztési Program 2022-es jelentése.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A ransomware csoportok jellemzően az aktív támadás (ami a titkosítás, adatlopás) után 2-4 héttel teszik publikussá az áldozat nevét, amennyiben az érintettel nem sikerült megegyezni, tehát Frészék szerint valamikor idén október elején, közepén történhetett a támadás. A VBÜ eddig nem tett közzé semmiféle erre vonatkozó információt és a kiberbűnözők nem számítanak hiteles forrásnak, de nagyban valószínűsíthető, hogy hitelesek az adatok, mivel ha hamisítottak, akkor meglehetősen jól szimulálnak egy magyar nyelvű IT rendszert és annak fájljait.
Amennyiben valósak az adatok, nemcsak közvetlenül az érintett intézménynek okozhatnak jelentős pénzügyi, reputációs károkat, hanem az általuk kezelt adatok jellegéből adódóan Magyarországra is veszélyt jelenthetnek. Mindemellett a VBÜ részéről elvárt és fontos lenne, hogy publikusan is kommunikáljon az esetről, ezzel is csökkentve a további támadási felületet
– emelik ki a szakértők a jelentésben.
A közzétett mappa és fájlstruktúra dátumait elemezve látható, hogy van köztük 2024. 10. 15-i módosítási dátumú is, tehát ha ez az incidens valódi, akkor viszonylag friss, így ez még csak az első megjelenés.
Az Inc Ransom csoport, más néven GOLD IONIC egy 2023 augusztusában megjelent ransomware csoport, amely kettős zsarolási módszert alkalmaz. Ez azt jelenti, hogy nemcsak titkosítják az adatokat, hanem az eredeti fájlokat lemásolják, az áldozatokat megzsarolják, majd az eredeti fájlok nyilvánosságra hozatalával fenyegetnek, amennyiben az áldozatok nem fizetnek időben. Áldozatai elsősorban az egészségügyi, ipari és oktatási szektorból kerülnek ki, geolokáció alapján pedig a legtöbb ismert áldozat az Egyesült Államokban és Európában található.
A Cyberthreat.report jelentése a csoport által használt módszereket és taktikákat is részletesebben ismerteti.