Pár hónappal ezelőtt kapott nagyobb nyilvánosságot, hogy a RansomHub csoport sikeresen megtámadta a Nemzeti Régészeti Intézetet és sikeresen titkosította a szervereit. Az intézet a Magyar Nemzeti Múzeum alá tartozik, és Magyarország régészeti emlékeinek feltárásával foglalkozik.
A ransomware-támadást sajtóértesülések szerint február 14-én sikerült észlelni, a Nemzeti Régészeti Intézet működése pedig ezután megbénult. A HVG akkoriban úgy értesült, hogy 10 millió dolláros váltságdíjat követeltek a támadók. A szervereket időközben helyreállították.
Bár a régészeti adatok nem tűnhetnek különösebben bizalmasnak, de a tervezett beruházásokra vonatkozó információk, illetve a régészeti munkához szükséges műszaki információk mégis annak minősülhetnek, ha esetleg ilyen információkat is tartalmazott a megszerzett 180 GB adatcsomag.
Mindez pár hónappal azután történt, hogy egy másik csoport sikeresen támadta meg a védelmi és ezen belül katonai beszerzések szempontjából kiemelt fontosságú Védelmi Beszerzési Ügynökség Zrt-t. Akkor a magyar kormány látványosan elhatárolódott a fizetés lehetőségétől, a támadók pedig közzétették a megszerzett információkat tartalmazó listát, ami önmagában rengeteg bizalmas információt tartalmazott, emellett árverésre is felkínálták a teljes csomagot.
Az ismert, hogy a RansomHub általában hetekkel a támadás után (feltételezem, a támadás ténye is titokban tartható „sikeres” együttműködés esetén, de ez most nem volt lehetséges, miután a sajtó azt tényként közölte) publikálja a támadás tényét, illetve indítja el azt a folyamatot, melynek a végén – nemfizetés esetén – az ellopott adatokat nyilvánosságra hozza. Vagyis ennek a lépésnek is meg kellett volna történnie.
Az első furcsaság, hogy ez a Nemzeti Régészeti Intézet esetében a RansomHub általi „hivatalos” bejelentés ennél sokkal tovább nem történt meg. Egészen pontosan 2025. március 24-ig, amikor az mégis megjelent a RansomHub darkwebes oldalán „Published” felirattal, azonban a dokumentumok tényleges közzététele nélkül. Az ilyen státuszba ért támadásoknál pár napig még mindig nem történik meg a tényleges közzététel, feltételezem az együttműködés és a fizetés utolsó lehetőségét felkínálva.
A következő furcsaság ezután történt, ugyanis a közzététel helyett váratlanul (a március 24-i pulikálásokból egyébként még nem minden esetben tettek közzé ténylegesen is adatokat) nyomtalanul eltűnt az mnm.hu-ra vonatkozó összes nyom és bejegyzés a RansomHub darkwebes felületéről.
Mivel az mnm.hu mögött álló szervezet leírása egyáltalán nincs összhangban a MNM valódi működésével, így valamiféle tévedés vagy technikai hiba is lehet ennek hátterében, ami miatt visszavonták a korábban közétett adatokat. Mindazonáltal a RansomHub eddigi gyakorlata alapján a megszerzett adatokat már publikálni szokták ennyi idő elteltével, legalábbis együtt nem működés esetén.
Mindebből pedig egyelőre talán az a legkézenfekvőbb következtetés, hogy valaki az utolsó pillanatban mégis fizethetett a kiberbűnözőknek. Ha ez igaz (vagy, ha nem is igaz, de ez a látszat fennmarad), akkor Magyarország most óriási célkeresztet kapott ezzel a kiberbűnözők körében. Természetesen, ha bármilyen státuszváltozás történne, akkor frissítem majd az írásomat.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
