Domniemany wyciek danych z Polsatu – co się stało i co wiadomo? Czy to może być fake?

Na jednym z portali monitorujących aktywność grup cyberprzestępczych pojawił się wpis związany z rzekomym atakiem na stację Polsat. Z opublikowanych informacji wynika, że wyciekło ponad 75 GB danych. Odpowiedzialność za atak wzięła grupa ALP-001, która od niedawna stała się aktywna w cyberprzestrzeni. 

TLDR:

• Na jednej ze stron typu shame site pojawiła się informacja o wycieku 75 GB danych z Polsatu.
• Za domniemanym atakiem stoi nowa grupa ransomware – ALP-001.
• Atakujący nie udostępnili jak dotąd żadnej próbki potwierdzającej autentyczność wykradzionych danych.
• Przedstawiciele Polsatu nie skomentował doniesień o możliwym incydencie bezpieczeństwa.
• Wpis o wycieku zniknął z czołowego portalu monitorującego aktywność grup cyberprzestępczych, co może sugerować blef lub zaawansowane negocjacje.

Na stronie typu shame site cyberprzestępcy umieścili ogólne informacje na temat działalności stacji oraz  jej roczny przychód (148,5 miliona USD). W ten sposób dają do zrozumienia, że znają kondycję finansową firmy oraz wiedzą na jak wysoki okup może sobie ona pozwolić. Zastanawiające jest jednak, czemu nie udostępnili żadnej próbki danych, co zapewniłoby im lepszą pozycję podczas negocjacji.

Na chwilę publikacji artykułu przedstawiciele Polsatu nie odnieśli się do pogłosek o rzekomym ataku. Na chwilę obecną wiarygodność atakujących jest trudna do oceny, a do całej sytuacji należy podejść z dużą rezerwą.

Cyberprzestępcy uruchomili licznik odliczający czas do 8 kwietnia 2026 r. To klasyczna zagrywka psychologiczna, która ma na celu wywarcie presji oraz przyspieszenie procesu negocjacyjnego. Jeżeli do tego czasu strony nie dojdą do porozumienia, atakujący zazwyczaj publikują pierwszą porcję danych (aby pokazać że nie żartują) lub wystawiają paczkę na sprzedaż.

Co wiemy o atakujących?

Grupa ALP-001 jest stosunkowo nowym graczem w świecie cyberprzestępczym. Działa w modelu RaaS (Ransomware-as-a-Service) obierając za cel duże organizacje o wysokich przychodach. Stosują technikę double-extortion, czyli oprócz szyfrowania infrastruktury celu, wykradają dane, a następnie grożą ich publikacją w przypadku niespełnienia żądań. 

Mają na koncie kilka sukcesów, z których największy związany jest z atakiem na Kyocera Document Solutions Europe – japoński gigant technologiczny, znany z dostarczania zaawansowanych systemów druku oraz elektronicznego obiegu dokumentów. Na skutek przeprowadzonych działań, cyberprzestępcy weszli w posiadanie danych kontaktowych pracowników, klientów, faktur oraz wewnętrznej dokumentacji technicznej.

W kontekście domniemanego wycieku z polsat.pl warto wspomnieć o dość nietypowej sytuacji. Choć początkowo informacje o ataku pojawiły się na portalu ransomware.live, wpis ten nagle zniknął z listy aktywnych wycieków. Taki ruch może sugerować, że proces negocjacji idzie w dobrym kierunku i w ramach gestu dobrej woli cyberprzestępcy usunęli ogłoszenie. 

Nie oznacza to jednak, że zagrożenie minęło. W przypadku zakończenia negocjacji fiaskiem, wpis ten może się ponownie pojawić w nieco odświeżonej formie (publikacja próbek danych, podanie powodu przerwania negocjacji, itp.).

Z drugiej strony wpis ten mógł zostać usunięty przez samych administratorów portalu ransomare.live, w momencie kiedy mają uzasadnione podstawy, że grupa kłamie lub przypisuje sobie “osiągnięcia innych”. W tej sytuacji, aby nie szerzyć dezinformacji wpisy są usuwane.

Jeśli atak faktycznie miał miejsce, a cyberprzestępcy posiadali dostęp do systemów wewnętrznych firmy może to oznaczać poważne straty wizerunkowe. Do momentu zabrania oficjalnego stanowiska przez zarząd Polsatu / Potwierdzenia autentyczności wykradzionych danych, wszelkie doniesienia o wycieku pozostają w sferze domniemań.

W przypadku pojawienia się nowych informacji artykuł zostanie zaktualizowany.

Źródło: dexpose.io, socradar.io 

~_secmike