Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Grupa Safepay ransomware atakuje polskiego producenta chemii?
Mieliśmy już w Polsce ataki na szpitale, banki, sieci handlowe i sektor publiczny. Tym razem padło na branżę, która dba o czystość w naszych domach. Grupa ransomware o ironicznej nazwie “Safepay” dopisała do swojej listy ofiar polską firmę POL-HUN. Czy jest to realne potwierdzenie ataku?
Jeśli nazwa POL-HUN nic Wam nie mówi, to zajrzyjcie do szafki w łazience. To firma z Koluszek, która jest właścicielem popularnej marki General Fresh (kostki do toalet, odświeżacze powietrza) oraz producentem tzw. marek własnych dla wielu sieci handlowych. Istnieje na rynku od 1990 r. Niestety, wygląda na to, że tym razem to oni muszą posprzątać u siebie. Chociaż nie mamy jeszcze oficjalnego komunikatu na stronie rzekomej ofiary to wszystko wskazuje na to, że atak rzeczywiście mógł mieć miejsce.
Co się stało?
Na stronie typu shame site (strona w sieci Tor, gdzie przestępcy chwalą się udanymi atakami) prowadzonej przez grupę Safepay, pojawił się nowy wpis dotyczący domeny polhun.pl. Atak został odnotowany 24 grudnia, zgodnie z informacjami z portalu ransomware.live wykryto sygnatury wskazujące na aktywność infostealera Lumma z liczbą przejętych kont wynoszącą 1.
Jak to zwykle bywa w przypadku nowoczesnych grup ransomware działających w modelu double extortion (czyli szyfrowanie ale także kradzież z grożeniem ujawnienia danych), sam wpis na stronie wyciekowej oznacza, że negocjacje się nie powiodły, albo ofiara po prostu zignorowała żądania okupu. Przestępcy twierdzą, że są w posiadaniu wrażliwych danych firmy i grożą ich publikacją.
Kim jest grupa Safepay?
To stosunkowo nowy gracz na rynku (aktywny od końcówki 2024 roku), ale mają już na swoim koncie ponad 200 ofiar. Technicznie w tym ataku nie wymyślili koła na nowo, jednak ich skuteczność jest bardzo wysoka. Analizy wskazują, że ich złośliwe oprogramowanie bazuje na kodzie źródłowym niesławnego LockBita 3.0, który wyciekł do sieci jakiś czas temu.
Co to oznacza w praktyce? To co zwykle: szyfrowanie, kradzież, szantaż.
W przypadku POL-HUN, wpis na stronie przestępców sugeruje, że sytuacja jest rozwojowa. Często w takich przypadkach jako “dowód” publikowane są zrzuty ekranu folderów sieciowych (drzewa katalogów), skany dowodów osobistych czy umowy handlowe.
Czekamy na oficjalny komunikat firmy lub (oby nie) pojawienie się próbek danych w sieci. Będziemy aktualizować temat.
~Tomasz Turba
