Orosz és észak-koreai kötődésű hackercsoportok nagyszabású kibertámadást hajtottak végre Dél-Korea pénzügyi szektora ellen, amely során több mint 2 TB érzékeny adatot tulajdonítottak el 28 intézménytől – erősítette meg a Bitdefender kiberbiztonsági vállalat.
A támadássorozat a Qilin nevű zsarolóvírus-csoporthoz köthető, amely Ransomware-as-a-Service (RaaS) modellben működik, és idén az egyik legaktívabb kibercsoportnak számít. A műveletet a szakértők szerint az úgynevezett “Korean Leaks” kampány keretében hajtották végre, amely nemcsak adatlopásra és zsarolásra, hanem politikai propagandára is épített.
Szokatlanul magas számú támadás
A Bitdefender jelentése szerint 2025 szeptemberében 25 ransomware-támadást regisztráltak Dél-Koreában, miközben az előző egy év havi átlaga mindössze két eset volt. Ezzel az ország idén már a második leginkább érintett állammá vált az Egyesült Államok után.
A 33 dokumentált esetből 25 köthető a Qilin csoporthoz, és ezek közül 24 kifejezetten pénzügyi intézményeket érintett.
A jelentés szerint a támadók egy menedzselt szolgáltató (MSP) kompromittálásán keresztül jutottak be a rendszerekbe, ami rávilágít az ellátási lánc sebezhetőségére és a modern zsarolóvírus-műveletek növekvő komplexitására.
A Qilin csoport a hagyományos zsarolás mellett politikai üzeneteket is terjesztett. A hackerek magukat „aktivistáknak” és „hazafiaknak” nevezve fenyegető bejegyzéseket tettek közzé, amelyekben azt állították, hogy az ellopott adatok „katonai hírszerzési értékkel” bírnak, és akár Észak-Korea vezetéséhez is eljuthatnak.
Egy kiszivárgott üzenet szerint a dokumentumokat állítólag Kim Dzsongun számára is elemezték, ezzel tovább fokozva a politikai feszültséget.
Három hullámban zajló adatlopás
A Bitdefender szerint a kampány három szakaszban zajlott:
- Első hullám: szeptember 14. – 10 pénzügyi cég
- Második hullám: szeptember 17–19. – további 9 szervezet
- Harmadik hullám: szeptember 28 – október 4. – újabb 9 áldozat
Összesen több mint egymillió fájlt és 2 TB adatot szereztek meg a támadók. Négy érintett szervezet adatai később eltűntek a szivárogtató oldalról, ami váltságdíj kifizetésére vagy belső döntésre utalhat.
Bár a Qilin neve egy kínai mitológiai lényre utal, a Bitdefender szerint a csoport orosz gyökerekkel rendelkezik. Egyik alapítójuk, „BianLian” aktív az orosz nyelvű kiberbűnözői fórumokon, és a csoport szisztematikusan kerüli a FÁK-országok szervezeteinek megtámadását – ami tipikus jelenség az orosz hátterű hackercsoportoknál.
Szélesebb hatás a dél-koreai piacra
A hackerek a kampány során azzal is fenyegettek, hogy az adatok nyilvánosságra hozatala súlyos károkat okozhat Dél-Korea részvénypiacának, és korrupciós ügyeket, manipulációra utaló információkat tárhatnak fel politikusokról és üzletemberekről.
A JoongAng Daily beszámolója szerint szeptember 23-án már több mint 20 vagyonkezelő társaság fertőződött meg a rosszindulatú szoftverrel, miután feltörték a GJTec nevű szolgáltató rendszerét.
A szakértők szerint az eset újabb figyelmeztetés arra, hogy a kritikus pénzügyi infrastruktúrák védelme globális szinten is megerősítésre szorul, különösen a geopolitikai feszültségek és az államilag támogatott kibertámadások korában.
A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.
