EXCLUSIV | Datele furate de la Sectorul 5 ar conține și conversații audio ale angajaților. Atacatorii, luați peste picior de negociatorul instituției: „Nu este cam mult pentru o rețetă de clătite?”

Hackerii care au furat baza de date a Primăriei Sectorului 5, iar apoi au pus informațiile la vânzare pe DarkWeb, au fost luați „peste picior” de angajații instituției, în timpul „negocierilor”. Atacatorii au publicat o mică parte dintre datele furate de la Sectorul 5, inclusiv convorbiri audio între angajați, în care se discută despre „lista de personal pentru parlamentare”.

Informațiile, care se află acum la vânzare pe DarkWeb, o parte a internetului care nu este indexată de motoarele de căutare tradiționale precum Google și care se accesează prin intermediul unor rețele speciale ce criptează traficul și ascunde identitatea utilizatorilor, după cum a scris Buletin de București încă de săptămâna trecută, ar putea fi făcute publice în următoarele zile, conform expertului în securitate cibernetică Bogdan Albei.

„Eu cred ca datele vor fi publicate, nu le cumpără nimeni 100%. Plus că prețul a ajuns undeva la 50.000 de euro, ceea ce pentru gruparea aceasta este infim. Cred că vor să se răzbune pentru modul în care au fost tratați. N-am mai întâlnit astfel de situații, e cumva telenovelistic”, a afirmat expertul de la stop-ransomware.ro, pentru Buletin de București.

CITEȘTE ȘI: Datele furate de la Primăria Sectorului 5, scoase la vânzare de hackeri. 200.000 de persoane afectate, plus alte sisteme conectate la Ministerul de Interne

Hackerii, luați „peste picior” de angajații Primăriei

Mai multe capturi de ecran, obținute de Buletin de București, arată că atacatorii, care fac parte din gruparea RansomHub, au fost luați „peste picior” de angajații Primăriei Sectorului 5.

Într-o conversație datată 27 octombrie 2024, hackerii îi cer angajatului să plătească 150.000 de dolari în Bitcoin pentru a recupera accesul la datele instituției.

Angajatul le-a răspuns în derâdere și i-a întrebat dacă poate plăti în „Robux” (monedă virtuală dintr-un joc numit Roblox destinat copiilor), iar apoi a glumit pe seama sumei cerute și a minimizat gravitatea situației, numind datele a 200.000 de cetățeni „o rețetă pentru clătite”.

 „150 de Robux sunt mulți pentru o rețetă de clătite”, se arată în capturile de ecran obținute de BdB.

Hackerii îi răspund că acceptă doar Bitcoin și îi trimit un link către o platformă de unde poate achiziționa criptomonede.

„Fii serios, încetează cu glumele legate de Robux. Îți voi oferi o soluție rapidă pentru această problemă fără prea multă agitație și publicitate”, i s-a răspuns.

Specialistul în securitate cibernetică, Bogdan Albei, a explicat că respingerea negocierii este o decizie normală, însă „modul în care a fost tratată situația este puțin iresponsabil, ceea ce i-a și enervat pe hackeri, din ce am aflat în ultima perioadă”.

Gruparea are inclusiv convorbiri telefonice între angajați

„Știi ce vreau să te întreb? Mai faci vreo suplimentare pe lista de personal pentru parlamentare? Deci trebuie să mai bag 59 de persoane ca să cheltuim toți banii, că le-am spus ăstora de la prefectură că nu le dau niciun ban înapoi”, se aude într-o înregistrare obținută de Buletin de București.

Din convorbire reiese o discuție între un angajat al Primăriei, pe nume Ionuț, și o altă angajată. Cei doi discută despre „lista suplimentară de personal pentru parlamentare”.

„Băgăm 59 de persoane în plus? Eu mai am vreo patru-cinci pe care vreau să le bag”, i se răspunde femeii.

În continuarea convorbirii, cei doi continuă cu enumerarea unor nume, tot angajați ai primăriei, printre care unii inspectori de la Direcția de Impozite și Taxe Locale Sector 5.

Hackerii au publicat datele furate de la Sectorul 5, inclusiv unele personale ale oamenilor din primărie

Buletin de București a descoperit că în anunțul grupării RansomHub despre datele furate de la Primăria Sectorului 5 apar numele unor persoane cu funcții importante în primărie, de la viceprimarul Mircea Nicolaidis, până la directori, inspectori, dar și polițiști locali.

O bună parte dintre persoanele menționate în imaginea de mai sus sunt oameni cu funcții în primărie. 

Mircea Horațiu Nicolaidis este viceprimarul Sectorului 5, Ștefania Maița și Elena Micliuc au funcția de inspector la Primăria Sectorului 5, conform declarației de avere de pe site-ul instituției, iar Florina Dragnea este director executiv în cadrul instituției.

Expert: „Datele cetățenilor vor fi probabil publicate”. Ce riscuri există pentru locuitorii Sectorului 5

Bogdan Albei se așteaptă ca în următoarele zile să fie publicate datele celor aproximativ 200.000 de cetățeni din Sectorul 5 și a argumentat că, în astfel de cazuri, nu se întâmplă să existe un deznodământ fericit pentru cei cărora le-au fost furate informațiile personale.

Albei avertizează că, odată ce aceste date devin publice, ar putea exista consecințe majore pentru cetățeni, inclusiv riscul de furt de identitate și fraude bancare.

Datele furate ar putea fi folosite pentru a obține credite bancare de la IFN-uri în numele persoanelor afectate, lucru care s-a întâmplat în trecut în cazuri similare în România.

„Cu datele astea te poți duce la o instituție nebancară să obții un credit. Și sunt sute, mii, sau probabil zeci de mii de cetățeni care au pățit asta în România”, a mai afirmat specialistul.

Directoratului Național de Securitate Cibernetică: „Nu avem informații cu privire la derularea unor negocieri”

Hackerii au anunțat că nu s-au înțeles cu Primăria Sectorului 5 la negocieri, după ce au furat informațiile în urma atacului cibernetic din 26 octombrie.

Cu toate acestea, într-un răspuns al Directoratului Național de Securitate Cibernetică (DNSC) pentru redacția BdB, instituția a afirmat că nu are cunoștință despre derularea unor negocieri între Primăria Sectorului 5 și atacatori.

„Poziția oficială precum și recomandarea fermă a DNSC este ca în cazul unui atac cibernetic, inclusiv un atac ransomware, să nu se realizeze nici o plată către atacatori. Plata răscumpărării nu garantează în nici un fel recuperarea datelor și poate încuraja continuarea atacurilor, precum și sprijinirea / finanțarea fenomenului infracțional.

Mai mult există riscul real ca prin plata unei răscumpărări către o grupare aflată pe o lista de sancțiuni internaționale, entitatea care efectuează o astfel de plată să intre sub incidența unor sancțiuni (e.g. în caz de finanțare a unor grupări teroriste ce execută direct sau indirect atacul cibernetic)”, a transmis Directoratul Național de Securitate Cibernetică.

Atacul a fost identificat ca fiind de tip ransomware, iar DNSC spune că „a intervenit cu o echipă de răspuns rapid pentru declanșarea investigațiilor și asigurarea de sprijin tehnic pentru limitarea impactului incidentului cibernetic”. Vorbim de un tip de virus care blochează accesul la datele unei victime prin criptare și solicită o răscumpărare, de obicei în bani, pentru a debloca accesul.

Editor: Cătălin Doscaș

CITEȘTE MAI MULTE PE ACEST SUBIECT:

• DNSC, despre vânzarea datelor a 200.000 de cetățeni din Sectorul 5: „Plata răscumpărării poate încuraja continuarea atacurilor”

• Hackerii care au scos la vânzare baza de date a Primăriei Sector 5 au folosit în anunț datele unor oameni cheie din instituție

• Primăria Sectorului 5, atacată cibernetic. Hackerii cer 1 milion de dolari răscumpărare

• Datele furate de la Primăria Sectorului 5, scoase la vânzare de hackeri. 200.000 de persoane afectate, plus alte sisteme conectate la Ministerul de Interne