Шум у мережах та на форумах з кібербезпеки знову обертається навколо ймовірний злом Податкової службиГрупа під назвою Qilin стверджує, що отримала 60 ГБ інформації, яка, за їхньою версією, належить Казначейству та вже циркулює в просторах даркнету.
Сповіщення надійшло зі спеціалізованого облікового запису Hackmanac на X, який поширював інформацію про існування матеріалу та авторство, що приписується Ціліну, хоча не надав перевірених технічних деталей щодо обсягу або точного походження даних. У публікації посилається на 238 799 файлів та поширення невеликої вибірки.
Що відомо про інцидент
Згідно зі скріншотами та повідомленнями, опублікованими на X, Цілін опублікував би пропозицію на форумі даркнету з «60 ГБ інформації та 238 799 файлів», що супроводжується 16 зразками документів на підтвердження її твердження. Даркнет, доступний через спеціальне програмне забезпечення та мережі, спрощує анонімну роботу та ускладнює відстеження цих обмінів.
Важливим нюансом є те, що, на відміну від інших епізодів програм-вимагачів, питання про фінансову допомогу не розглядалося адресовано уряду Іспанії або AEAT. Ймовірна база даних була б виставлена на продаж, що відповідає моделям монетизації, де зловмисники обмінюють інформацію для фішингових, шахрайських або крадіжок особистих даних кампаній.
Інституційна реакція та ознаки, що вказують на третю сторону
Джерела з Податкового управління повідомили газеті El Debate, що після початкового аналізу цей епізод схожий на той, що стався наприкінці 2024 року, і що «вплинуло б на керуючу компанію», від’єднавши інцидент від систем AEAT. Якщо це підтвердиться, ми зіткнемося з порушенням у постачальника або посередника, який обробляє податкові дані для клієнтів та малих та середніх підприємств.
Паралельно, кілька аналітиків та користувачів X зазначили, що зразки, опубліковані Qilin схоже, що вони відповідають бухгалтерській або консалтинговій фірміВ одному з вірусних повідомлень навіть зазначалося, що веб-сайт компанії відповідає лише через HTTP (без шифрування), що свідчить про погані практики, які можуть сприяти вторгненням або викраданню, якщо виникнуть інші недоліки.
Хто такі Цілінь і як вони працюють?
Qilin – це група з історією в екосистемі кіберзлочинності, до якої вони приписують шантажні кампанії та продаж данихУ цьому випадку публічно описана схема не включає переговори з AEAT щодо викупу, а радше прямий маркетинг ймовірної здобичі на закритих форумах, що є дедалі поширенішою тактикою, коли зловмисники прагнуть швидкої ліквідності або максимізації цінності за допомогою кількох покупців.
Якщо інформація надходить від третьої сторони, пов'язаної з податковою та трудовою сферами, вектором проникнення можуть бути скомпрометовані облікові дані, розкриття послуг без шифрування, помилки конфігурації або невиправлені вразливості. Без незалежної експертизи точну точку компрометації поки що неможливо визначити.
Нещодавній прецедент: справа Трініті
Наприкінці 2024 року було повідомлено про ще одну ймовірну масовану атаку: група Trinity стверджувала, що вкрала 560 ГБ конфіденційних даних і вимагала 38 мільйонів доларів під загрозою розкриття інформації. Потім AEAT заявила, що її служби працюють у звичайному режимі, і після попереднього розслідування було зроблено висновок, що постраждала сторона була приватна організація у сфері податкового та трудового консалтингу, а не саме Агентство.
Цей прецедент підтверджує гіпотезу про те, що посередники та постачальники Податкові органи стали цінною мішенню для зловмисників, концентруючи конфіденційну інформацію від кількох клієнтів, не завжди маючи тих самих стандартів безпеки, що й державні органи.
Ризики для громадян та рекомендації
Якби частина витікної інформації була достовірною та могла бути використана повторно, найімовірнішим наслідком було б сплеск спроб хакерських атак. фішинг та шахрайство Націлювання на платників податків. Злочинці часто видають себе за повідомлення від Казначейства, щоб обманом змусити жертв надати облікові дані, банківські реквізити або здійснити несанкціоновані платежі.
- Будьте обережні з текстовими повідомленнями, електронними листами або дзвінками з проханням надати термінову інформацію, негайні платежі або встановити файли.
- Перевірте відправників та домени; увійдіть до Електронного офісу, ввівши офіційну URL-адресу у свій браузер.
- Не натискайте на скорочені посилання або неочікувані вкладення; перевіряйте позначки часу та електронні підписи.
- Активуйте двофакторну систему, де це можливо (Cl@ve, банківська справа), та періодично переглядайте транзакції та сповіщення.
- Якщо ви підозрюєте шахрайство, збережіть докази та повідомте про це; зверніться до INCIBE та правоохоронних органів.
Що ще потрібно уточнити
Ключові моменти залишаються неперевіреними: справжнє походження файлів, автентичність опублікованих зразків, обсяг постраждалих осіб та компаній, часові рамки інциденту та вектор вторгнення. Також очікується визначення того, чи вживе організація, визначена як можливе джерело, публічних заходів та повідомить суб’єктів даних, як того вимагає закон.
На даний момент, частини більше підходять до одного прогалина в управлінській або сервісній компанії Це безпосередньо ставить під загрозу системи AEAT. В умовах високого ризику спроб шахрайства рекомендується бути вкрай обережним у будь-якому спілкуванні з використанням бренду Hacienda та дотримуватися належних цифрових практик під час розслідування.
