Cyberatak paraliżuje systemy IT kilku londyńskich samorządów: RBKC, Westminster i H&F uruchamiają plany awaryjne - Security Bez Tabu

Cyberatak paraliżuje systemy IT kilku londyńskich samorządów: RBKC, Westminster i H&F uruchamiają plany awaryjne

Wprowadzenie do problemu / definicja luki

Trzy samorządy w centrum Londynu — Royal Borough of Kensington and Chelsea (RBKC), Westminster City Council (WCC) oraz London Borough of Hammersmith and Fulham (LBHF) — poinformowały o poważnym incydencie cyberbezpieczeństwa, który spowodował zakłócenia działania wielu systemów, w tym linii telefonicznych i usług online. Wdrażane są plany ciągłości działania, a zespoły pracują z NCSC (National Cyber Security Centre) oraz służbami dochodzeniowymi. Na ten moment nie potwierdzono publicznie sprawców ani skali ewentualnego naruszenia danych.

W skrócie

  • Incydent wykryto w poniedziałek, 24 listopada 2025 r.; w kolejnych dniach publikowano aktualizacje i komunikaty dla mieszkańców.
  • Zakłócenia dotyczą RBKC i WCC, a LBHF, które współdzieli część usług IT z tymi radami, wprowadziła działania izolacyjne swoich sieci, powodując przerwy w świadczeniu usług.
  • Samorządy wstrzymały wybrane systemy w trybie prewencyjnym i zapewniają numery telefonów awaryjnych dla spraw pilnych.
  • Ekspert branżowy sugeruje, że może chodzić o atak ransomware na dostawcę usług współdzielonych; na razie brak oficjalnego potwierdzenia i brak przypisania do grupy.
  • Sprawą zajmują się NCSC oraz NCA/ICO; lokalne media podkreślają skalę zakłóceń w usługach publicznych.

Kontekst / historia / powiązania

RBKC i WCC mają wspólne ustalenia dot. usług IT, a część rozwiązań dzielą także z LBHF — to właśnie wspólna infrastruktura sprawiła, że efekt incydentu widoczny jest równocześnie w kilku radach. W przeszłości londyńskie samorządy były już dotknięte poważnymi atakami (np. Hackney w 2020 r.), co potwierdza, że JST są atrakcyjnym celem dla cyberprzestępców.

Analiza techniczna / szczegóły luki

Co wiemy oficjalnie:

  • Rady wyłączyły część systemów „z ostrożności”, aby ograniczyć skutki incydentu i przyspieszyć przywracanie usług krytycznych.
  • Linie telefoniczne i formularze online były okresowo niedostępne; zespoły IT prowadzą działania naprawcze i twardą segmentację.
  • Trwa dochodzenie z udziałem ekspertów oraz NCSC/NCA; za wcześnie na atrybucję i twarde wnioski dot. wycieku danych.

Co jest najbardziej prawdopodobne (wnioski na podstawie dotychczasowych incydentów w JST):

  • Vektor dostępu początkowego: kompromitacja dostawcy usług wspólnych (MSP/outsourcer), spear-phishing z kradzieżą poświadczeń SSO/MFA, nadużycie kont uprzywilejowanych lub exploit w bramach zdalnego dostępu (VPN, MDM, EDR konsoli). Sugestię ataku na usługodawcę wskazuje m.in. niezależny ekspert cytowany przez media.
  • Rozprzestrzenianie się: wykorzystanie łączności międzytenantowej w środowisku współdzielonym (AD/Entra ID, sieci WAN, współużytkowane systemy usługowe) i lateral movement z pomocą narzędzi „living off the land”. (Wniosek na podstawie wzorców MITRE ATT&CK obserwowanych w atakach na JST).
  • Wpływ: szyfrowanie części zasobów (jeśli to ransomware) lub wyłączenia prewencyjne powodujące przerwy w świadczeniu usług — co jest zgodne z obserwowanymi komunikatami rad.

Praktyczne konsekwencje / ryzyko

  • Usługi dla mieszkańców (kontakt telefoniczny, zgłoszenia spraw pilnych, wybrane usługi socjalne, płatności/zgłoszenia online) działają z opóźnieniami lub przez numery zastępcze.
  • Ryzyko dla danych: wciąż niepotwierdzone — prowadzone jest badanie, czy doszło do kompromitacji danych osobowych. Zgłoszono sprawę do ICO zgodnie z procedurą.
  • Ryzyko wtórne: oszuści mogą podszywać się pod urząd, rozsyłać phishing i prosić o dane/płatności. Zalecana czujność mieszkańców i firm współpracujących.

Rekomendacje operacyjne / co zrobić teraz

Dla JST i dostawców MSP:

  1. Izolacja i segmentacja: odciąć połączenia między organizacjami/tenantami, wymusić Tiering AD i polityki PAW/JIT/JEA, blokada dzierżaw zaufanych do czasu walidacji.
  2. Zerowanie ryzyka dostępowego: rotacja kluczy, reset haseł uprzywilejowanych, ponowne wydanie MFA (preferowane FIDO2/Passkeys), sprawdzenie SSO/OAuth (token replay).
  3. Higiena tożsamości: weryfikacja conditional access, blokady geolokacyjne, usunięcie „zombie” aplikacji i legacy auth.
  4. EDR/XDR: pełne skanowanie hostów, hunting TTP (np. rundll32, certutil, bitsadmin, psexec), blokady C2 i nietypowych strumieni DNS/DoH.
  5. Kopie zapasowe: test odtwarzania, odseparowanie backupów (immutable, offline), weryfikacja snapshotów w IaaS/SaaS.
  6. Komunikacja i zgłoszenia: aktualizacje dla mieszkańców, notyfikacja do ICO (jeśli potrzeba), ochrona reputacyjna (ostrzeżenia przed phishingiem).
  7. Threat intel & atrybucja: korelacja z kampaniami wymierzonymi w europejskie JST; poszukiwanie śladów narzędzi RaaS (np. skrypty exfil, :.zip archiwa, TTP znanych grup).

Dla mieszkańców i przedsiębiorców:

  • Korzystaj z numerów awaryjnych podanych przez rady i unikaj nieoficjalnych linków.
  • Ignoruj podejrzane e-maile/SMS-y „od urzędu”, nie podawaj danych i nie wykonuj przelewów z linków.
  • Jeżeli składałeś wnioski online, monitoruj korespondencję i rozważ alerty w biurach kredytowych w razie publikacji informacji o wycieku.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Hackney (2020): potwierdzony ransomware z długotrwałym wpływem na usługi i publikacją danych. Obecnie (listopad 2025) brak potwierdzenia ransomware i brak wycieków publicznie przypisanych do grup — różnica istotna z perspektywy komunikacji kryzysowej. Media podkreślają skalę i fakt współdzielenia IT jako czynnik ryzyka kaskadowego.

Podsumowanie / kluczowe wnioski

  • Atak wykazał kruchość współdzielonych środowisk IT w JST: kompromitacja jednego elementu może odbić się na kilku radach.
  • Priorytetem pozostaje przywrócenie usług krytycznych oraz weryfikacja ewentualnych naruszeń danych.
  • Dla samorządów i MSP to moment na twarde segmentowanie, wzmocnienie tożsamości i ćwiczenia odtwarzania — zanim pojawi się presja napastników (jeśli to ransomware).
  • Mieszkańcy powinni zachować podwyższoną czujność wobec phishingu i korzystać wyłącznie z oficjalnych kanałów kontaktu.

Źródła / bibliografia

  • BleepingComputer: opis incydentu, wpływ na usługi i hipoteza dot. dostawcy usług, 26 listopada 2025 r. (BleepingComputer)
  • Royal Borough of Kensington and Chelsea – oficjalny komunikat i aktualizacje (25–26 listopada 2025 r.). (Royal Borough of Kensington and Chelsea)
  • Westminster City Council – aktualizacja (26 listopada 2025 r., godz. 20:00) i wskazania dla mieszkańców. (Westminster City Council)
  • London Borough of Hammersmith & Fulham – komunikat o działaniach izolacyjnych (26 listopada 2025 r.). (London Borough of Hammersmith and Fulham)
  • The Guardian – przegląd sytuacji i tło działań NCA/NCSC (26 listopada 2025 r.). (The Guardian)