Cyber Incident Victim: Správa služeb hlavního města Prahy
Date:
Apr 2025
Location:
Czechia
Summary
Správa služeb hlavního města Prahy byl terčem kyberútoku, při kterém útočníci nasadili ransomware, odcizili přibližně 200 GB dat a začali je zveřejňovat na internetu s požadavkem na vyjednání výkupného. Organizace potvrdila incident, uvedla, že její komunikační kanály jsou částečně omezeny a že pro kontakt s veřejností používá provizorní e‑mailovou schránku a dva mobilní telefony. Policie a Národní úřad pro kybernetickou a informační bezpečnost vyšetřují případ; podle dostupných informací za útokem stojí skupina Cicada3301, která se hlásí k podobným akcím dříve. Tento útok následuje dřívější podobný incident v Praze, kdy ransomware skupiny Akira napadl Pražské služby.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 1 motive | 1 technique |
| Threat Actor | Type | Location |
|---|---|---|
| 1 actor | Available to members | Available to members |
Description
Správaslužeb hlavního města Prahy potvrdila serveru iROZHLAS.cz, že se stala terčem kybernetického útoku, při němž hackerská skupina začala zveřejňovat některé z ukradených materiálů a vyzvala organizaci k vyjednávání o výkupném. Organizace uvedla, že činnosti jí dané zřizovací listinou jsou nadále plněny, ale že aktuálně jsou částečně omezeny komunikační kanály. Podle jejího vyjádření unikly údaje o odtazích a jména odtažených vozidel, poznávací značky jejich aut, interní neanonymizované smlouvy a soupis majetku. Zločinci tvrdí, že získali data o objemu 200 gigabytů a hrozí zveřejněním dalších materiálů, pokud nebude zahájena jednání o výkupném. Případem se zabývají policie i Národní úřad pro kybernetickou a informační bezpečnost, přičemž mluvčí úřadu Lenka Soukupová uvedla, že o incidentu ví a řeší ho, ale další podrobnosti komentovat nemůže. Organizace neuvedla, kdy by systémy mohly začít opět plně fungovat a odmítla poskytnout další informace k uvedenému.
V důsledku útoku organizace dočasně přešla na provizorně založenou e‑mailovou schránku u společnosti Google, protože původní e‑mailové adresy nefungují. Telefonní linky jsou rovněž mimo provoz a pro komunikaci s veřejností pracovníci využívají pouze dva mobilní telefony. Přestože jsou komunikační kanály omezeny, Správa služeb zdůraznila, že její základní činnosti podle zřizovací listiny pokračují bez přerušení. Neexistuje žádné veřejně dostupné prohlášení o předpokládané době obnovení plného fungování systémů. Organizace neuvedla, zda byly zálohy dotčeny ani jaké konkrétní systémy byly zašifrovány nebo vyřazeny z provozu.
Podle bezpečnostního experta Borise Mutiny ze společnosti Excello je těžké zvenčí situaci hodnotit, ale považuje útok za poměrně závažný a nevylučuje, že došlo k poničení a vyřazení velkého množství systémů. Mutina uvedl, že pokud by organizace měla správně zvládnuté procesy kyberbezpečnosti tak, jak je popisuje zákon, obnova by mohla trvat jednotky dní, zatímco pokud byl útočník v infrastruktuře delší dobu a zálohy byly poškozeny, obnova by se mohla výrazně prodloužit. Experta také poznamenal, že útočníci se pravděpodobně hlásí ke skupině Cicada3301, ruskojazyčnému uskupení působícímu od roku 2024, které by mohlo být nástupcem známé skupiny Black Cat. Dodal, že tato skupina již nerozlišuje cíle a útočí na právnické kanceláře, průmyslové společnosti, úřady i organizace zabývající se vzděláváním dětí s autismem a postižením. Článek dále uvádí, že před půlrokem došlo k podobnému útoku na Pražské služby, kdy za útokem stála skupina Akira a princip útoku byl stejný – ransomware, který data odcizí a zašifruje. Žádné další konkrétní technické detaily o způsobu průniku nebo konkrétních dotčených aplikacích nejsou v poskytnutém zdroji uvedeny.