Ataki podszywające się pod polskie urzędy GUS i PIP
Tagi:  darknethakerhakingcyberatak

Ataki podszywające się pod polskie urzędy GUS i PIP

W ostatnich dniach hakerzy rozpoczęli nową i skuteczną kampanię. Tym razem na celowniku znalazły się państwowe urzędy PIP i GUS, pod które podszywają się cyberprzestępcy, wysyłając szkodliwe maile. Ich treść ma za zadanie nakłonić przedsiębiorców do uruchomienia załącznika.

W ostatnich dniach do skrzynek internautów trafiają wiadomości, których nadawcy podszywają się pod Główny Urząd Statystyczny oraz Państwową Inspekcję Pracy a ich treść ma za zadanie nakłonić przedsiębiorców do uruchomienia załącznika.

Obowiązkowe sprawozdanie o działalności gospodarczej przedsiębiorstw

Taki tytuł nosi wiadomość poczty elektronicznej którą od środy mogli otrzymywać przedsiębiorcy. Jej zawartość wygląda następująco:
Treść fałszywej wiadomości

Wiadomość została dość dobrze przygotowana. Przestępcy dzień przed rozpoczęciem wysyłki zarejestrowali domenę gusgov.pl, łudząco podobną do prawdziwego adresu GUSu. Pod adresem: http://gusgov. pl/sprawozdanie_2016 .rar kryło się archiwum zawierające złośliwe oprogramowanie ukryte w pliku o nazwie dz.u.nr.88.pdf.pif GUS najwyraźniej wie już o problemie, ponieważ zamieścił na swojej witrynie odpowiedni komunikat. Domena gusgov.pl od zeszłego piątku nie odpowiadała na próby połączenia.

Informacja o kontroli Panstwowej Inspekcji Pracy w Panstwa firmie

27 maja z kolei pojawiły się zgłoszenia kolejnego oszustwa. Tym razem nadawca podszywa się pod Państwową Inspekcję Pracy. Wiadomość wygląda następująco:
Nie zawiera innej treści oprócz stopki, za to towarzyszy jej załącznik o nazwie 26_05_2016 Powiadomienie.docm
Jest to plik Worda, próbujący nakłonić odbiorcę do uruchomienia makr.
Uruchomienie makro skutkuje pobraniem pliku z adresu zlokalizowanego na serwerach KEI.PL 

Excel.exe to samorozpakowujące się archiwum RAR, zawierające dwa pliki: gg.exe oraz 0023starthav.exe. Szczegóły pliku:

  • excel.exe: MD5 cfd5a824ef40f020133bf25968be9cb4, link do VT
  • gg.exe: MD5 f80156c7d714d7dca07a400858d75695, link do VT
  • 0023starthav.exe: MD5 6ff7ebec05c80df56ad3c2c0092fa32a, link do VT

Zawartość to ransomware  Encryptor RaaS, działające w modelu „ransomware as a service”, gdzie autor oprogramowania szyfrującego udostępnia je pobierając niewielką prowizję od klientów. Stawka za odszyfrowanie to ok. 100 dolarów.
Strona ransomware pod adresem http://zem6b3aofh2ysehq.onion

Podsumowanie

Przestępcy sprytnie wybrali moment swoich ataków, gdy odbiorcy, rozproszeni drugą majówką, mogą w przypływie stresu podjąć nieracjonalną decyzję i otworzyć otrzymaną wiadomość. Przed takim atakiem w 100% nie uchronią żadne mechanizmy, jednak można zmniejszyć ryzyko ataku. Dobrze się również wyedukować pod kątem – co zrobić, kiedy zostaniemy już zaatakowani przez oprogramowanie ransomware. 

Oceń blog:
Czas czytania: 4 min
Data: 30.05.2016

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)