Wyciek danych pracowników Ekotrade

Na portalu ransomware.live pojawiła się informacja o rzekomym ataku na pracowników firmy Ekotrade. Skala wycieku robi wrażenie. Przejętych oraz zaszyfrowanych zostało 950 682 plików, co przekłada się na 900 GB danych. Aktualnie tożsamość atakującego nie zostało ustalona. Wiadomo natomiast, że do przeprowadzenia ataku wykorzystano platformę Qilin, działająca w modelu Ransomware-as-a-Service (RaaS).

TLDR:

• Polska firma ochroniarska Ekotrade padła ofiarą ataku ransomware grupy Qilin.
• Wykradzionych zostało ok. miliona plików (900 GB), w tym baza danych kadrowo-płacowych pracowników.
• Wśród upublicznionych informacji znajdują się m.in. dane personalne pracowników, kontrahentów, umów, realizowanych przetargów.
• Pełna skala wycieku oraz szczegóły ataku nie są znane. Na chwilę obecną trwają prace związane z przywróceniem działania systemów. 

Co zostało ujawnione?

Fakt wystąpienia incydentu został oficjalnie potwierdzony przez przedstawicieli firmy Ekotrade. W opublikowanym oświadczeniu Zarząd informuje, że 31 sierpnia 2025 r. miał miejsce atak na infrastrukturę IT, w której znajdowała się m.in. baza informacji kadrowo-płacowych pracowników. Szczegółowe informacje dotyczące treści ujawnionych danych nie zostały przedstawione. Atakujący zastosowali metodę double extortion, tzn. dane firmy zostały nie tylko wykradzione, ale również zaszyfrowane. 

12 września br. na stronie Ministerstwa Cyfryzacji został opublikowany komunikat Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, w sprawie wycieku danych spowodowanego cyberatakiem na firmę Ekotrade. Zgodnie z jego treścią wykradzione dane mogą obejmować:

• dane osobowe pracowników,
• informacje na temat zawartych umów, realizowanych przetargów,
• zawartość skrzynek pocztowych pracowników i baz danych firmy,
• dane dostępowe do kont serwisowych klientów,
• specyfikacje techniczne projektów.

Skala wycieku oraz rodzaj ujawnionych informacji mogą mieć daleko idące konsekwencje prawne i reputacyjne dla Ekotrade. Z uwagi na profil działalności firmy oraz szereg usług realizowanych w skali kraju, istnieje uzasadniona obawa o wzrost liczby ataków phishingowych wymierzonych zarówno w pracowników firmy jak i jej kontrahentów.

Co wiemy o atakującym?

Na chwilę obecną nie posiadamy informacji, czy z firmą skontaktował się atakujący. Próbka danych opublikowana na forum w Darknecie przez Qilin z dużym prawdopodobieństwem zawiera rzeczywiste dane pracowników Ekotrade. Pełna skala wycieku i autentyczność udostępnionych danych nie została jak dotąd potwierdzona przez firmę. 

Z uwagi na zastosowanie platformy RaaS trudno jednoznacznie zdefiniować profil atakującego oraz jego rzeczywistą motywację. 

Co dalej?

Obecnie trwają prace związane z analizą powłamaniową oraz podejmowane są działania mające na celu przywrócenie funkcjonowania systemów. Biorąc pod uwagę upublicznione dane, w celu zminimalizowania skutków ataku zaleca się podjęcie następujących kroków:

• zmianę haseł dostępowych oraz wdrażanie uwierzytelniania dwuskładnikowego z wykorzystaniem kluczy sprzętowych,
• stosowanie menadżerów haseł,
• skrupulatną weryfikację wiadomości otrzymywanych od firmy Ekotrade,
• zastrzeżenie numeru PESEL oraz włączenie BIK Alert, który pozwoli na bieżąco monitorować wszelkie próby zaciągnięcia kredytu lub pożyczki.

Model RaaS staje się coraz bardziej popularny w środowisku cyberprzestępczym. Potencjalny atakujący nie musi posiadać specjalistycznej wiedzy, czy też samodzielnie konfigurować infrastruktury do przeprowadzenia ataku. W zamian za ustalony procent od wynegocjowanego okupu, może skorzystać z gotowych narzędzi, wsparcia technicznego i instrukcji jak krok po kroku przeprowadzić atak. Takie rozwiązanie znacząco obniża próg wejścia, co skutkuje coraz większą liczbą ataków.

Źródło: gov.pl, ekotrade.com.pl, ransomlook.io/group/qilin

~_secmike