Melilla – hiszpańska eksklawa u wybrzeży Maroka – od końca czerwca pozostaje sparaliżowana po ataku ransomware grupy Qilin. Cyberprzestępcy twierdzą, że wywieźli nawet 5 TB danych, a miasto nie odzyska dostępu do 90 najważniejszych serwerów, dopóki nie zapłaci 1,8 mln €. Samorząd obawia się, że 1200 urzędników nie dostanie pensji na czas, a w komisariacie policji pracuje… tylko jeden komputer.
Od „awarii IT” do pełnoskalowego szantażu
22 czerwca urząd miasta zgłosił, że to „jedynie usterka”, którą administracja usunie w dwa dni. Szybko okazało się jednak, że do Melilli wdarł się Qilin – rosyjsko-języczna grupa ransomware-as-a-service, znana z podwójnego szantażu: najpierw szyfruje dane, a potem grozi ich publikacją w darknecie. Według śledczych hakerzy weszli do sieci przez konto pracownika, który zalogował się zdalnie bez zabezpieczeń; chwila nieuwagi otworzyła przestępcom drogę do lateralnego ruchu i zaszyfrowania niemal całej sieci magistratu.
Paraliż usług publicznych i obrazowe skutki ataku
Skala problemu jest bezprecedensowa dla miasta wielkości 86 tys. mieszkańców. Z 100 kluczowych serwerów 90 pozostaje offline, co unieruchomiło system płac, e-PUAP, bazę podatkową i narzędzia wewnętrznej komunikacji. Prezydent Juan José Imbroda przyznał, że samorząd nie wie, kiedy wypłaci wynagrodzenia 1200 pracownikom ani jak obsłuży bieżące wnioski obywateli. Najjaskrawszy przykład dała policja: w jej siedzibie działa jedyny, częściowo odizolowany komputer, co praktycznie uniemożliwia dostęp do baz policyjnych i utrudnia patrole.
Żądania Qilin i brak kopii zapasowych
Gang Qilin wycenił „odzyskanie” danych na 1,8 mln €, a w internecie opublikował dziesięć próbek skradzionych plików, by uwiarygodnić groźby. Miasto – według hiszpańskich mediów – nie nawiązało oficjalnych negocjacji i liczy na wsparcie Centrum Kryptologicznego Narodowego oraz policji krajowej. Problem w tym, że samorząd nie posiadał odseparowanych kopii zapasowych; nie ma więc czego przywrócić, dopóki specjaliści nie odtworzą zaszyfrowanych systemów serwer po serwerze. To idealny scenariusz dla ransomware, bo wydłuża „cyfrowy blackout” i zwiększa presję finansową.
Qilin – rosyjska fabryka okupu w liczbach
Analitycy Barricade Cyber liczą, że tylko w 2025 r. Qilin odpowiada za ponad 300 ataków na całym świecie, a ich ofiary płacą od 50 tys. USD do kilkudziesięciu milionów. Malware gangu – pisany w Rust – potrafi uderzyć jednocześnie w Windows, Linux i VMware ESXi, a sprawcy chętnie wykorzystują znane luki w FortiOS i platformach zdalnego dostępu. Jednoczesne szyfrowanie i kradzież danych (double extortion) uczyniło Qilin jednym z najgroźniejszych ugrupowań ransomware w tym roku.