O bază de date cu informațiile a aproximativ 200.000 de locuitori din Sectorul 5, dar și alte seturi de date din sisteme conectate la Ministerul de Interne au fost deja puse la vânzare de către o grupare de hackeri cunoscută internațional, numită RansomHub, după ce aceștia nu s-au înțeles cu Primăria Sectorului 5 (PS5) la negocieri în urma atacului cibernetic din 26 octombrie. Specialistul în cybersecurity Bogdan Albei, de la stop-ransomware.ro, a explicat, pentru Buletin de București, că hackerii au publicat pe DarkWeb o mică parte dintre date drept dovezi.
„Am purtat negocieri timp de o săptămână, însă, din păcate, nu am reușit să ajungem la un acord”, a transmis gruparea de hackeri.
CITEȘTE ȘI: Primăria Sectorului 5, atacată cibernetic. Hackerii cer 1 milion de dolari răscumpărare
Datele furate de la Primăria Sectorului 5, scoase la vânzare de hackeri
Atacul cibernetic a avut loc sâmbătă, 26 octombrie, după cum a mai scris Buletin de București AICI. Primarul Cristian Popescu Piedone, încă în funcție, spunea atunci că „nu voi ceda în faţa unor astfel de atacuri şi nu voi plăti suma cerută de teroriştii cibernetici”.
Deși Piedone spunea că breșa de securitate se va rezolva în perioada imediat următoare și i-a mulțumit ministrului Cercetării, Inovării şi Digitalizării, Bogdan Ivan, „pentru că a intervenit prompt”, situația actuală, făcută publică de expertul Bogdan Albei, arată că problema a căpătat proporții.
Datele personale a 200.000 de locuitori din Sectorul 5 se află la vânzare deja pe DarkWeb, e o parte a internetului care nu este indexată de motoarele de căutare tradiționale precum Google. Aceasta se accesează prin intermediul unor rețele speciale, care criptează traficul și ascunde identitatea utilizatorilor.
Mai mult, hackerii au luat în calcul şi varianta în care cei atacaţi se adresează autorităţilor. A avertizat primăria că vor trebui să plătească o amendă pentru faptul că nu au securizat datele personale care intră sub incidenţa GDPR.
Dacă mergeţi la autorităţi, nu veţi face decât să înrăutățiți situaţia. Ei vor încerca să vă împiedice să negociaţi cu noi, pentru că aceste negocieri i-ar face să pară incompetenţi. În plus, veţi fi amendaţi conform legislaţiei GDPR în vigoare.
Hackerii RansomHub
Specialistul Bogdan Albei, de la stop-ransomware.ro, este cel care a descoperit anunțul pe DarkWeb. El a explicat, pentru Buletin de București, că hackerii au publicat doar o mică parte dintre date drept dovezi, iar acum le-au pus la vânzare și așteaptă potențiali cumpărători, pentru a obține profit din acest atac.
„O să încerce probabil mai întâi să le vândă, să obțină ceva profit și abia apoi, dacă nu reușesc nimic, probabil că o să le dea la liber”, a explicat expertul.
El a afirmat că, deși anunțul grupării a fost făcut pe DarkWeb, „nu trebuie să fii hacker sau specialist în CyberSecurity ca să accesezi un astfel de site” și că sunt multe persoane care pot face asta.
El a mai explicat că gruparea a avut acces la unele sisteme „destul de critice”, precum cel al Direcției Regim Permise de Conducere și Înmatriculare a Vehiculelor (DRPCIV), iar astfel, hackerii ar putea avea inclusiv numerele de înmatriculare ale mașinilor.
„Am văzut, de exemplu, baza de date cu cei care dețin locuri de parcare în Sectorul 5. Asta însemnând persoană, număr de telefon, numărul locului de parcare. Au avut acces la niște sisteme informatice care sunt dincolo de Primăria Sectorului 5. Deci practic sisteme informatice care erau conectate la Primăria Sectorului 5”, a mai explicat Albei.
Gruparea a pus la vânzare datele. Cât ar putea costa o astfel de „afacere”
Prețurile pentru astfel de pachete cu date diferă în funcție de volumul lor, iar valoare este stabilită și în baza sensibilității informațiilor.
În negocierea inițială care s-a purtat între primărie și gruparea de hackeri RansomHub, oferta ajunsese undeva la 150.000 de euro. Deci pentru 150.000 de euro s-ar fi închis cazul.
Bogdan Albei, expert în securitate cibernetică
Inițial, primarul Piedone declarase că ar fi fost vorba de un preț de aproximativ 5 milioane de euro cerut de RansomHub, conform Digi24, însă expertul a afirmat că acesta este un zvon și că „prețul de pornire ar fi fost undeva la un milion de euro”.
Cât despre garanția că hackerii ar fi putut șterge datele în urma unei plăți făcute de PS5, expertul în securitate cibernetică a explicat că nu există niciun fel de siguranță, pentru că ele ajung să fie stocate pe sisteme care nu pot fi controlate decât de hackeri.
Cu toate acestea, el a declarat că grupările de hackeri cunoscute la nivel mondial țin la reputația lor.
Dacă spun că șterg datele, le șterg. Dacă spun că-ți dau cheia de decriptare, ca să-ți recuperezi sistemele, îți dau cheia de decriptare. Dacă îți promit că nu te vor mai ataca în viitor, nu te mai atacă.
Bogdan Albei, expert în securitate cibernetică
Dacă nu s-ar ține de cuvânt, grupările și-ar pierde reputația, a explicat expertul, iar de cele mai multe ori se țin de cuvânt pentru a avea credibilitate, pentru că instituțiile vizate de atacurile lor nu i-ar mai plăti în viitor dacă nu își respectă promisiunile.
Expert: „Datele cetățenilor vor fi probabil publicate”. Ce riscuri există pentru locuitorii Sectorului 5
Expertul se așteaptă ca în următoarea săptămână să fie publicate datele celor aproximativ 200.000 de cetățeni din Sectorul 5 și a argumentat că, în astfel de cazuri, nu se întâmplă să existe un deznodământ fericit pentru cei cărora le-au fost furate datele.
În 99% din cazuri așa s-a întâmplat, nu o să le răscumpere nimeni. Deci nu îi va împiedica nimeni pe hackeri să le publice.
Albei avertizează că, odată ce aceste date devin publice, ar putea exista consecințe majore pentru cetățeni, inclusiv riscul de furt de identitate și fraude bancare.
Datele furate ar putea fi folosite pentru a obține credite bancare în numele persoanelor afectate, lucru care s-a întâmplat în trecut în cazuri similare în România.
„Cu datele astea te poți duce la o instituție nebancară să obții un credit. Și sunt sute, mii, sau probabil zeci de mii de cetățeni care au pățit asta în România”, a mai afirmat specialistul.
Cum au ajuns datele la hackeri și ce sancțiune riscă Primăria Sectorului 5
Deși a spus că instituția ar trebui să primească o amendă usturătoare din partea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), există șanse mult mai mari ca primăria condusă astăzi de fiul lui Cristian Popescu Piedone, Vlad Piedone, să primească doar o amendă simbolică.
„Dacă le dau 10.000 euro pentru primărie, nu cred că va fi mare lucru. Cu siguranță, pentru a respecta procedurile vor primi o amendă. Dar nu mă aștept să fie o amendă foarte mare”, a declarat Bogdan Albei.
Expertul subliniază că există două posibile cauze ale breșei: erori umane, cum ar fi deschiderea unor e-mailuri de tip phishing sau accesarea de linkuri suspecte de către angajații primăriei, dar și vulnerabilități ale sistemelor IT, care nu sunt protejate corespunzător împotriva amenințărilor cibernetice, cum ar fi serverele, routerele și altele.
Gruparea RansomHub, cunoscută la nivel mondial
RansomHub este o variantă de ransomware-as-a-service (RaaS), cunoscută anterior sub denumirile de Cyclops și Knight, care a câștigat rapid notorietate în 2024, după atacuri succesive, conform Agenției pentru Securitate Cibernetică a Statelor Unite.
Potrivit unui avertisment comun emis de mai multe instituții americane, printre care FBI, Agenția pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA), Centrul Multi-State de Partajare și Analiză a Informațiilor (MS-ISAC) și Departamentul de Sănătate și Servicii Umane (HHS), RansomHub a devenit una dintre amenințările cibernetice de top din ultimele luni. De la începutul anului 2024, RansomHub a compromis cel puțin 210 victime din sectoare critice, precum servicii guvernamentale, sănătate publică, tehnologia informației, apă și canalizare, servicii financiare, producție și comunicații.
Grupul operează printr-un model de dublă extorcare, conform instituțiilor americane, criptează sistemele victimei și filtrează datele, iar apoi cer răscumpărări pentru a preveni publicarea lor.
Termenul pentru plata răscumpărării variază între trei și 90 de zile. Dacă nu se ajunge la un acord, RansomHub urmează să publice datele pe propriul site de pe DarkWeb.
Redacția Buletin de București s-a adresat în scris Primăriei Sectorului 5, Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și Directoratul Național de Securitate Cibernetică cu privire la situația în cauză. Când vom primi răspunsuri, le vom publica de îndată.
A contribuit Cătălin Doscaș.
CITEȘTE ȘI: Cristian Popescu Piedone este încă primar la Sectorul 5. Cel puțin pe site
