Február 14-én sikerült észlelni, hogy ransomware-támadás érte a Nemzeti Régészeti Intézetet (NRI), melynek működése ezután megbénult. Az elkövetők a teljes rendszert és a tárolt adatokat is titkosították, melyek visszafejtéséért a hackerek 10 millió dollár váltságdíjat követelnek. Az ügy különösen aggasztó, mivel az NRI nem csupán egy tudományos intézmény, hanem közvetlen szereplője az országos léptékű infrastrukturális és kulturális beruházások előkészítésének – emelik ki az ügy jelentőségét a CyberThreat.Report biztonsági szakértői, Béres Katalin és Frész Ferenc.

A támadást a RansomHub nevű zsarolóvírus-csoport követte el, ami a 2024-es év egyik legaktívabb ransomware csoportja volt, több mint 600-nál több célponttal valamennyi ágazatot érintve, beleértve a pénzügyi szektort, egészségügyi intézményeket és kritikus infrastruktúrát. Az NRI kommunikációja szerint az adatok visszaállítása jelenleg biztonsági másolatok felhasználásával zajlik, de az ilyen támadások esetleges hosszútávú hatásai később válnak csak egyértelművé.

Elsőre nem annyira egyértelmű, miért lehetnek érdekesek a könyvtárak és közgyűjtemények a kiberbűnözők számára, pedig számos ok említhető: a hatalmas mennyiségű egyedi adat, melyek lehetnek régi dokumentumok, történelmi tervek, műtárgyak digitalizált nyilvántartásai, vagy éppen nagy állami beruházásokhoz kötődő érzékeny adatok. Nem utolsósorban az elavult biztonsági rendszer és a hosszú helyreállítási idő már elegendő ok lehet a támadóknak a behatoláshoz. Egy közgyűjtemény vagy könyvtár esetében a helyreállítás akár hónapokig vagy évekig is eltarthat, mivel az intézmények nem mindig rendelkeznek gyorsan helyreállítható redundáns másolatokkal. Vagyis nagyobb az esélye, hogy fizetnek.

Mivel az NRI központi szerepet tölt be a magyarországi régészeti örökség védelmében, valamint az állami és magánberuházások előzetes régészeti feltárásainak koordinálásában, ezért a leállás túlmutat önmagán, hiszen közvetve infrastrukturális fejlesztések késlekedéséhez, és akár érzékeny adatok kiszivárgásához is vezethet - írja Béres és Frész.

A támadás során kompromittálódhattak a beruházásokkal kapcsolatos tervdokumentációk, földtani és régészeti feltárások adatai, valamint a belsős kommunikációs rendszerek. Az alkalmazottak napi munkájához szükséges szerverek és szolgáltatások leállása akadályozhatja a kutatásokat, engedélyezési folyamatokat és együttműködéseket más intézményekkel.

Az NRI még nem szerepel a RansomHub hivatalos szégyenfalán, amelyen a hackercsoport azokat az áldozatokat listázza, akik nem fizetnek vagy nem hajlandók tárgyalni velük. A támadók jellemzően 1-2 hetet várnak, mielőtt publikálnák az áldozat nevét, eközben megpróbálnak tárgyalásokat folytatni a váltságdíj megszerzésére. A szégyenfalra kikerülés után a támadók a birtokukban lévő adatok egy részét is kiszivárogtathatják a nyomásgyakorlás fokozása érdekében. Amennyiben ez megtörténne, nyilvánosságra kerülhetnének olyan jellegű információk, mint hogy milyen nagy állami projektek engedélyezése van épp folyamatban, vagy hogy az NRI milyen belső dokumentációkat kezel, esetleg milyen belső informatikai gyengeségek vezettek a támadáshoz.

A RansomHub csoport nem csak a hagyományos zsarolóvírusos technikákat alkalmazza, hanem a dupla és a tripla zsarolás módszerével is él. Tehát a támadók nem csak elllopják az adatokat, hanem azzal is fenyegetőznek, hogy a partnerek, ügyfelek vagy a közvélemény felé fordulnak, még nagyobb nyomást helyezve az érintettekre. A csoport által alkalmazott kifinomult hozzáférési technikák és taktikák bővebb részletei a CyberThreat.Report bejegyzésében olvashatók.