Fałszywe maile wykorzystują wizerunek Ministerstwa Cyfryzacji - ostrzeżenie dla urzędów

2 min czytania
Fałszywe maile wykorzystują wizerunek Ministerstwa Cyfryzacji - ostrzeżenie dla urzędów

W Otwocku i okolicznych jednostkach samorządowych pojawiły się spreparowane wiadomości podszywające się pod Ministerstwo Cyfryzacji. Atakujący stosują złośliwe załączniki i socjotechnikę, by wyłudzić dane osób zajmujących się bezpieczeństwem teleinformatycznym.

  • Chronologia ataków i ryzyko dla Otwocka
  • Jak działała kampania Ministerstwa Cyfryzacji

Chronologia ataków i ryzyko dla Otwocka

Od 28 października 2025 służby odnotowały pierwsze rozesłanie wiadomości udających oficjalną korespondencję resortu. Pierwszy e-mail zawierał rzekomy arkusz kalkulacyjny, który w rzeczywistości był wykonywalnym plikiem infekującym komputer po uruchomieniu. Kolejna fala wysyłek miała miejsce 30 października 2025 i opierała się na metodach socjotechnicznych — celem było pozyskanie kontaktów i danych osób odpowiedzialnych za cyberbezpieczeństwo w instytucjach.

Informację opublikował Powiat Otwocki, powołując się na komunikaty służb i analizy techniczne.

Jak działała kampania Ministerstwa Cyfryzacji

Atakujący wykorzystali wizerunek resortu i wiceministra Paweł Olszewski oraz fałszywą domenę govministry.pl. Nadawcą w podejrzanych wiadomościach był adres [email protected], a jedna z użytych subject lines brzmiała Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028.

Wskazane wskaźniki kompromitacji (IoC) i pliki powiązane z kampanią:

  • domena govministry.pl
  • nadawca [email protected]
  • adres serwera C2 45.61.149.41:443
  • nazwy lub hashe plików: database_part.xlsx, database.хlsх.exe, cleaner.exe, Full Database 2025.xlsx
  • skróty SHA-256: ba58c0f03af5f266d3f69ad74b177177f587a6dd7e33241ae55d9c07f7050773, 3248ee3a6b9b03f13fc7b39c9214153dbd462ce00110357cf791d2c49f3b5666, 7f126df993b1200c6df310c33d14bdebaa7d6184e61bdb78bebc58f05afcde0a, 99bf9020d85bbd2cd14feaddd3d1f55daecee672ce7e2cd9e7ceef09f02419a3.

Ministerstwo przypomina, że nigdy nie prosi o ujawnianie haseł ani poufnych danych drogą mailową czy przez media społecznościowe. W przypadku wątpliwości trzeba kontaktować się bezpośrednio z odpowiednimi służbami i zgłaszać incydenty do krajowego CSIRT. Jeśli złośliwy plik zostanie uruchomiony, zalecane jest natychmiastowe odizolowanie zainfekowanej maszyny.

na podstawie: Powiat Otwocki.

Autor: krystian