ShinyHunters краде 297 GB от HR системите на Съвета на Европа

ShinyHunters краде 297 GB от HR системите на Съвета на Европа

Съветът на Европа, водещата институция на континента за правата на човека, демокрацията и върховенството на закона, стана последната известна жертва на групата за рансъмуер ShinyHunters. Пробивът разкри 297 GB чувствителни HR и payroll данни, включително над 409 000 фишове за заплати и над 14 000 автобиографии на служители, засягайки персонала на Секретариата и Дирекция „Човешки ресурси“. Пробивът в данните на Съвета на Европа от ShinyHunters не е просто инцидент в киберсигурността; той е категорично напомняне, че дори органите, натоварени да защитават правата на гражданите, могат да не успеят да защитят личните данни на собствените си хора.

Какво беше откраднато: Вътре в 297 GB пробив на HR и payroll данни

Според твърденията на ShinyHunters, плячката от този пробив е значителна. Над 429 000 файла бяха компрометирани, като данните обхващат фишове за заплати, автобиографии, трудови договори и вътрешни HR записи. Само фишовете за заплати надхвърлят 409 000 документа, което означава, че пробивът вероятно обхваща значителна част от настоящата и бившата работна сила на Съвета.

Чувствителността на тези данни не може да бъде надценена. Фишовете за заплати обикновено съдържат пълни правни имена, домашни адреси, национални идентификационни номера, данни за банкови сметки, информация за заплата и данъчни записи. Автобиографиите добавят още един слой излагане, включващ образователна история, лични препоръки и детайли за предишна заетост. Заедно тази информация предоставя на киберпрестъпниците всичко необходимо за провеждане на целенасочени фишинг кампании, извършване на измама с идентичност или продажба на индивидуални профили на пазари в тъмната мрежа.

Този тип атаки, фокусирани върху HR, стават все по-чести. Пробивът в HR системата на Статистическата служба на Южна Африка последва поразително сходен модел, като нападателите се насочиха към вътрешна инфраструктура за човешки ресурси, за да извлекат служебни записи, вместо да атакуват системи, обърнати към клиенти.

Защо Съветът на Европа е високоценена цел за рансъмуер групи

На пръв поглед междуправителствена организация, фокусирана върху правата на човека, може да изглежда необичайна цел за рансъмуер. На практика тя е изключително привлекателна. Съветът на Европа наема хиляди служители в централата си в Страсбург и множество изнесени офиси, което означава, че неговите бази данни за човешки ресурси са наситени с лични записи. Институционалният престиж също повишава ливъриджа, достъпен за рансъмуер групите: репутационната цена на пробив е по-висока за орган, чийто мандат включва права на гражданите и защита на данните.

ShinyHunters има добре документиран модел на атакуване на големи, видими организации, за да максимизира натиска за плащане на откуп. По-рано тази година групата отправи публичен ултиматум към нидерландския телекомуникационен доставчик Odido. Както подробно се описва в отразяването на пробива в данните на Odido, засягащ 8 милиона клиенти, ShinyHunters заплаши да публикува откраднатите данни на клиенти, освен ако не бъде платен откуп, демонстрирайки готовността си да използва публичното разкриване като инструмент за натиск. Същият сценарий изглежда се прилага и тук.

Пробивът в Съвета на Европа също така следва по-ранната претендирана атака на ShinyHunters срещу облачната инфраструктура на Европейската комисия, която по данни включва над 350 GB данни от платформата Europa.eu. Взети заедно, тези инциденти подсказват, че групата е направила европейските институции целенасочен фокус на своите операции през 2025 и 2026 г.

Иронията на регулаторите за поверителност, които не успяват да защитят личните данни

Съветът на Европа е органът, отговорен за Европейската конвенция за правата на човека и надзирава рамките, които държавите-членки използват за управление на защитата на данните и цифровата поверителност. С други думи, това е институция, която поставя стандарта за това как следва да се обработват и защитават личните данни. Иронията на това, че тази институция претърпява пробив от такъв мащаб, е трудна за пренебрегване.

Това не е изолирано напрежение. Големите институции често имат сложна, наследена ИТ инфраструктура, разклонени взаимоотношения с доставчици и данни за работната сила, разпределени в десетки взаимосвързани системи. Тези структурни реалности създават повърхности за атака, които са наистина трудни за управление, независимо колко силни са заявените ангажименти на организацията към поверителността. Пробивът илюстрира, че добрите политически намерения не се превеждат автоматично в добра оперативна сигурност.

За засегнатите служители последиците са непосредствени и лични. Всеки, чийто фиш за заплата или автобиография е сред над 429 000 файла, сега е изправен пред потенциално излагане на финансовите си данни и документи за самоличност. Продажбата в тъмната мрежа на институционални HR данни, както се видя в обявата за клиентски данни на Iliad Italia, обикновено следва бързо пробивите, предоставяйки на престъпниците готов пазар за откраднатите записи.

Как хората могат да се защитят, когато институциите не успяват

Когато работодател или институция бъде пробита, засегнатите лица имат ограничен контрол върху това какво е било откраднато. Но има конкретни стъпки, които можете да предприемете, за да ограничите по-нататъшно излагане.

Наблюдавайте внимателно финансовите си сметки. Данните за банкови сметки, разкрити във фишове за заплати, могат да бъдат използвани за директна измама. Настройте известия за необичайни транзакции и преценете дали временно замразяване на кредитни запитвания е подходящо във вашата юрисдикция.

Бъдете нащрек за опити за целеви фишинг. Нападателите, които разполагат с вашата автобиография и фиш за заплата, знаят вашия работодател, ниво на заплата и длъжност. Те могат да създадат изключително убедителни имейли за представяне под чужда самоличност, използвайки този контекст. Отнасяйте се с повишена скептичност към неочаквани съобщения, изискващи действие или идентификационни данни, дори ако изглежда, че идват от колеги или HR.

Използвайте VPN в обществени и споделени мрежи. Въпреки че VPN не предотвратява пробив от страна на сървъра, той защитава трафика ви от прихващане, когато достъпвате работодателски портали или чувствителни акаунти от разстояние, намалявайки един вектор за кражба на удостоверителни данни.

Проверете дали данните ви се появяват в бази данни за пробиви. Услугите, които наблюдават известни набори от данни за пробиви, могат да ви предупредят, ако имейлът ви или други идентификатори се появят в новопубликувани набори от данни.

Поискайте яснота от работодателя си. Ако сте служител или изпълнител на Съвета на Европа, настоявайте за конкретна комуникация относно това кои записи са били засегнати и какви мерки за отстраняване се предлагат.

Институционални пробиви като този са напомняне, че личната хигиена на данните има най-голямо значение именно когато организациите, които държат вашите записи, не успяват да ги защитят. Прегледът на вашето излагане, обезопасяването на акаунтите ви и поддържането на бдителност към социално инженерство не са незадължителни екстри; те са основният отговор, когато данни, които не сте предали на престъпници, все пак попаднат в техните ръце.

Ескалиращите атаки на ShinyHunters срещу европейски институции подсказват, че тази група не забавя темпото. Да останете информирани и да предприемате проактивни стъпки за собствената си цифрова сигурност е най-ефективният отговор, достъпен за хората, попаднали в кръстосания огън.