Uwaga samorządy! Cyberprzestępcy podszywają się pod Ministerstwo Cyfryzacji

Sfałszowana korespondencja, której nadawcą rzekomo miało być Ministerstwo Cyfryzacji, dwukrotnie w ostatnich dniach była wysyłana do jednostek samorządu terytorialnego. Celem działań przestępców było zainfekowanie komputerów i systemów informatycznych oraz wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo. O zdarzeniach poinformowało RCB Krajowego Centrum Zarządzania Kryzysowego, które przekazało samorządom komunikat w tej sprawie.

To kolejny przykład, gdy samorządy znajdują się w obszarze zainteresowania przestępców. W cybreprzestrzeni mają miejsce intensywne działania wymierzone w różne podmioty administracji publicznej i będące elementem infrastruktury krytycznej, o czym wielokrotnie informowało Ministerstwo Cyfryzacji. Jak pokazuje najnowsza sytuacja przestępcy postanowili wykorzystać aktywność resortu w obszarze dbałości o bezpieczeństwo samorządów i państwa, przygotowując wektor ataku bazujący na rzekomych ostrzeżeniach. Otwartym pozostaje pytanie, czy zaplanowana w oparciu o taki motyw kampania jest częścią szerszego scenariusza. Niestety, nie można tego wykluczyć a jednostki samorządowe i inne podmioty kluczowe powinny zachować szczególną ostrożność

Aleksander Kostuch

ekspert Stormshield

Jak przebiegały ataki?

Atakujący wysyłają do jednostek samorządu terytorialnego spreparowane wiadomości imitujące oficjalną komunikację Ministerstwa Cyfryzacji. Pierwsza z wiadomości, wysłana 28.10.2025, zawierała szkodliwy plik arkusza kalkulacyjnego XLSX. Umieszczono w niej link do pliku rzekomo zawierającego dodatkowe informacje - w rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował hosta.

30.10.2025 miała miejsce kolejna wysyłka. Tym razem fałszywa wiadomość nie zawierała szkodliwego załącznika, lecz bazowała na socjotechnice - jej celem było wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne w danej organizacji.

Komunikaty dystrybuowane były z następujących domen: govministry.pl i security@govministry.pl (adres nadawcy wiadomości). Tytuły wiadomości: gov.pl (tytuł wiadomości ze szkodliwym załącznikiem) i „Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028” (tytuł szkodliwej wiadomości). Adres serwera C2 szkodliwego oprogramowania to 45.61.149.41:443.

Rekomendacje Rządowego Centrum Bezpieczeństwa

W przesłanej do samorządów wiadomości autorzy ostrzeżenia rekomendują następujące działania:

• Weryfikacja logów pod kątem powyższych IoC (Indicator of Compromise - Wskaźnik Skompromitowania) tj. dowodów wystąpienia incydentu bezpieczeństwa
• W przypadku wykrycia - zgłoszenie incydentu do właściwego CSIRT-u poziomu krajowego
• W przypadku uruchomienia szkodliwego pliku - bezzwłoczne odizolowanie maszyny

Zalecam również, aby dodać do reguł firewalla blokowanie wspomnianych w ostrzeżeniu adresu IP i domeny, a także sprawdzenie logów czy przypadkiem już nie było ruchu sieciowego z tych źródeł. Jeżeli w logach znajdziemy te adresy, to będzie ważna informacja, które komputery należy wyizolować i wyczyścić skutek ich kompromitacji

Aleksander Kostuch

ekspert Stormshield

Zdaniem eksperta zaistniała sytuacja jest okazją do edukacji pracowników. Pokazanie jak wyrafinowane mogą być działania socjotechniczne cyberprzestępców, pozwoli uwrażliwić ich na kolejne, podobne próby podszywania się pod zaufane instytucje.

Zawsze warto pamiętać o zasadzie ograniczonego zaufania, ponieważ samorządy są i będą jednym z głównych celów dla przestępców. Ostatnim głośnym przypadkiem był atak na Urząd Miejski w Wadowicach, który od początku października zmaga się z problemem wycieku danych, o czym wspomina m.in. portal Sekurak

Aleksander Kostuch

ekspert Stormshield