Публикувана на 02.10.2025 от Христо Петров
Последна промяна на 05.10.2025
Рансъмуерът е най-опустошителната киберзаплаха за Европа и представлява над 80% от цялата компютърна престъпност срещу организации в Европейския съюз. Това е изводът на Агенцията на Европейския съюз за киберсигурност (ENISA) в последния си доклад Threat Landscape 2025.
Според ENISA рансъмуерът е най-сериозната заплаха в Европа не само заради големия брой на атаките, но и защото последствията от тях могат да са катастрофални: както за засегнатата институция, така и за цялата икономика (ако става дума за институция, която управлява критично важна инфраструктура).
Questona следи активността на рансъмуер групите от 2022 г. насам. В тази статия ще разгледаме публично известни случаи на български институции, които са били сочени за жертви на рансъмуер атаки.
Някои от инцидентите са официално потвърдени от държавните органи. Други остават в сферата на спекулациите, макар за тях да са публикувани някакви доказателства: обикновено част от източените данни.
Важно е да се уточни, че сами по себе си твърденията за пробив от страна на хакерите и публикуването на данни или скрийншотове не доказват пробива.
Дори и твърденията да не са истина, те могат да ощетят засегнатата организация. Твърдения за източване на данни могат да доведат до репутационен срив, загуба на приходи и дори завеждане на съдебни искове.
Какво е рансъмуер и как еволюира
Рансъмуерът представялва зловреден софтуер, който се инсталира на работна станция в мрежата на набелязаната организация. Софтуерът криптира данните и организацията трябва да плати откуп, за да получи ключ за декриптиране.
С времето рансъмуер атаките еволюираха и преминаха към модел на двойно изнудване. При него хакерите правят копие на данните и изнудват жертвите си не само за да им предоставят ключ за декриптиране, но и за да не публикуват откраднатите данни в интернет.
Според ENISA хакерите, занимаващи се с рансъмуер, все по-често избират да атакуват по-малки компании, които продават софтуер на големи организации. Това им позволява да атакуват веригите на доставки. Пример за това е рансъмуер атака срещу Collins Aerospace, която доставя ИТ системи на летища. Резултатът беше масови забавяния и отмяна на полети на няколко големи европейски летища в Европа.
Рансъмуер бандите нападат и български институции
Компании в големи европейски икономики като Германия, Италия и Испания най-често попадат в списъците на засегнатите от рансъмуер групите.
От време на време обаче се появяват и твърдения за атаки срещу български частни и държавни институции.
Настоящият списък не претендира за изчерпателност. В него умишлено не са включени някои твърдения за атаки, за които така и не се появиха дори бегли доказателства: например твърденията за рансъмуер атака срещу ГЕРБ.
Върховен административен съд
Атаката срещу Върховния административен съд се е случила в края на януари 2025 г. Отговорност за нея пое рансъмуер групата Ransomhouse, която публикува на сайта си част от данните, които твърди, че е източила от информационните системи на българската институция.
Тези данни и до днес могат да се открият на сайта на Ransomhouse. В същото време групата не е публикувала в пълния размер данните, които твърди, че е откраднала от ВАС.
ТЕЦ Марица Изток 2
За кибератака срещу ТЕЦ „Марица изток 2“ става ясно от писмена комуникация между Ивайло Мирчев от ПП-ДБ и министъра на енергетиката Жечо Станков.
В писмото си Мирчев иска информация за мерките, взети след инцидента, който определя като „рансъмуер атака срещу ТЕЦ „Марица изток 2“.
В отговора на Станков се посочва, че засегнатият сървър е изолиран, а ДАНС е започнала разследване по случая.
Комуникацията е от лятото на 2025 г., което предполага, че самият инцидент също се е случил някъде в този период.
Questona няма информация за теч на данни в интернет като резултат от инцидента.
Български пощи
През 2022 г. „Български пощи“ стана жертва на рансъмуер атака, за която нито една хакерска група не е поела официално отговорност. Не са публикувани и данни, които доказват пробива.
Такъв обаче е имало: той беше потвърден от държавата, а самата институция „Български пощи“ временно не можеше да изпълянва част от дейността си заради щети в системите, причинени от атаката.
Според бившия зам. министър по ефективно управление Калина Константинова причина за атаката са „2600 физически и морално остарели работни станции с операционна система Windows XP и Windows 7“, с които работи „Български пощи“ и които увеличават риска от пробив в сигурността на мрежата на институцията.
Юнимастърс
През 2022 г. рансъмуер групата LockBit 3.0 публикува на сайта си твърдение, че е пробила информационните системи на логистичната компанията „Юнимастърс“. Като доказателство за пробива бяха публикувани трудови договори с лични данни, както и копие на документ за самоличност.
Атаката срещу „Юнимастърс“ беше потвърдена в годишния доклад на КЗЛД.
Стинг
Търговецът на лекарства „Стинг“ се появи в списъка с жертви на рансъмуер групата Hunters International през 2024 г.
Хакерите публикуваха на сайта си огромен масив от данни, за които твърдяха, че са откраднати именно от българската фирма, чийто годишен оборот към онзи момент наближаваше 900 млн. лв.
Публикуваните данни включваха имейл комуникация, различни фирмени документи като фактури, договори, отчети, списък с телефонните номера на служителите, както и снимки.
В един момент данните изчезнаха от сайта на Hunters International, а след това хакерската група се ребрандира и обяви, че прекратява дейността си в досегашния си формат (като дори заяви, че ще изпрати безплатно на всичките си досегашни жертви софтуер, с който могат да декриптират данните си).
Достоверността на данните и твърденията на Hunters International не са официално потвърдени нито от „Стинг“, нито от правоохранителните органи.
МК Брокерс
През 2022 г. рансъмуер групата LockBit заяви, че е източила гигабайти от информационните системи на българския инвестиционен посредник „МК Брокерс“.
Данните съдържат десетки хиляди файлове, включващи информация за сключени сделки и инвестиции, трудови договори и копия на лични карти.
Инцидентът и достоверността на данните не са потвърдени официално от „МК Брокерс“ или от държавни органи. Данните обаче и до днес са свободно достъпни за сваляне в интернет.
Интрама
През 2024 г. рансъмуер групата Stormous.X публикува в даркуеб линк към това, за което твърди, че са над 100 гигабайта данни, източени от българския производител на опаковки „Интрама“.
Хакерската група първо съобщи за атаката в Telegram канала си, а около две седмици по-късно групата публикува и съобщение, че е качила в тъмната мрежа всички откраднати данни.
Инцидентът не е потвърден от „Интрама“ или държавни органи.
HREU
В началото на 2025 г. рансъмуер групата FunkSec публикува около 600 копия на документи за самоличност.
Хакерите твърдят, че са ги източили от системите на българската фирма за човешки ресурси HREU.
И този инцидент не е потвърден нито от потенциално засегнатата, нито от разследващи органи.
Българска рекламна агенция
Хакерите от Sarcoma обявиха през 2024 г., че са източили 40 гигбайта данни от българска фирма за реклама и ПР.
Разследване на Questona установи, че публикуваните данни по-скоро са свързани с друга българска фирма с подобно име. Вероятно авторите на предполагаемата атака са се объркали заради сходствата в имената. Поради това се въздържаме да публикуваме името на засегнатата компания.
I&G Brokers
Оглавяваната от българин (или някой, който свободно владее български език) група RansomedVC беше изключително активна през лятото на 2023 г. Тя действаше по-скоро като група за изнудване, а не като класическа рансъмуер група.
Повечето й твърдения за хакнати компании си останаха недоказани, но едно от тях RansomedVC подкрепи като изпрати на български медии линк към данните на около 2000 лица, за които твърдеше, че са клиенти на застрахователния брокер I&G Brokers. На сайта си RansomedVC публикува скрийншот, който предполагаемо показва достъп до системите на брокера.
Тези твърдения не са публично потвърдени нито от засегнатата компания, нито от регулатори или разследващи.
Questona дава право на отговор на всяка от споменатите в статията компании.
Тази статия има информативен характер и е написана единствено с цел да допринесе за по-доброто разбиране на последствията от изтичането на данни. Статията е базирана на данни, които са публично достъпни чрез интернет сайт. Авторът не одобрява и не подкрепя никакви незаконни действия, свързани с описаното в статията изтичане на данни. Въпреки че информацията, представена в статията, е основана на източници, които са достъпни за обществеността, авторът е положил усилия да избегне разкриването на чувствителни лични данни.
Искате да научавате новините на момента?
|| >>> Следвайте Questona във Facebook || >>> Следвайте Questona в LinkedIn ||
Подобни статии
