Georgia (USA): stanowa organizacja obsługująca akta sądowe ostrzega przed przerwami po ataku ransomware - Security Bez Tabu

Georgia (USA): stanowa organizacja obsługująca akta sądowe ostrzega przed przerwami po ataku ransomware

Wprowadzenie do problemu / definicja luki

Georgia Superior Court Clerks’ Cooperative Authority (GSCCCA) — stanowa jednostka odpowiedzialna m.in. za rejestry nieruchomości, akta spraw cywilnych i bazę notariuszy — ogłosiła „wiarygodne i trwające zagrożenie cybernetyczne” i tymczasowo ograniczyła dostęp do swoich usług. Komunikat ostrzegawczy widnieje na stronie głównej GSCCCA, a prace przywracające działanie systemów mają na celu bezpieczne ponowne uruchomienie usług.

23–25 listopada 2025 r. niezależne media branżowe powiązały incydent z operacją ransomware „Devman”, która miała dopisać GSCCCA do swojej strony z wyciekami, twierdząc o kradzieży 500 GB danych i żądaniu okupu 400 000 USD z terminem do 27 listopada.

W skrócie

  • Kiedy: atak rozpoczął się w piątek, 21 listopada 2025; 25 listopada GSCCCA potwierdziła cyberatak i utrzymanie restrykcji dostępu.
  • Co dotknięte: usługi wyszukiwania i składania dokumentów związanych z nieruchomościami, aktami cywilnymi i notarialnymi były ograniczone lub niedostępne.
  • Sprawcy: nowa operacja ransomware Devman (RaaS), działająca od wiosny 2025 r., wcześniej kojarzona z modyfikacjami kodu DragonForce/Conti i aktywnością afiliacyjną.
  • Skala roszczeń: 500 GB danych, okup 400 000 USD. Uwaga: to deklaracje przestępców — brak publicznej weryfikacji wykradzionej treści.

Kontekst / historia / powiązania

GSCCCA centralizuje rejestry dla 159 hrabstw stanu Georgia, w tym indeksy wpisów dot. nieruchomości, zastawów, poświadczeń notarialnych i spraw cywilnych — dlatego nawet krótkie przestoje mogą mieć wpływ na obrót nieruchomościami, egzekucję zabezpieczeń czy terminy procesowe.

W tym samym okresie (listopad 2025 r.) firma SitusAMC – kluczowy dostawca usług dla rynków kredytów hipotecznych – ujawniła odrębny incydent bez użycia oprogramowania szyfrującego, jednak z kradzieżą danych (umowy, zapisy księgowe). Zbieżność czasowa podkreśla presję na ekosystem prawniczo-hipoteczny.

Analiza techniczna / szczegóły luki

„Devman” to powstająca w 2025 r. operacja Ransomware-as-a-Service (RaaS). Niezależne dochodzenia wskazują, że operator wcześniej działał jako afiliant Qilin/DragonForce, później uruchamiając własną platformę RaaS z depozytem wejściowym dla afiliantów i dedykowaną stroną wyciekową (DLS).

Badania sandboxowe ANY.RUN z lipca 2025 r. opisują wariant przypisywany Devman:

  • silne pokrewieństwo kodowe z DragonForce/Conti,
  • nietypowa usterka buildera (samo-szyfrowanie notatek okupu),
  • tryby szyfrowania „full/header-only/custom”,
  • próby rozprzestrzeniania przez SMB i techniki obejścia blokad plików (Restart Manager).

Co to oznacza praktycznie? Nawet jeśli jakość binariów bywa nierówna, model RaaS umożliwia szybkie skalowanie operacji (rekrutacja afiliantów, handel dostępami), a presja jest wywierana również poprzez same publikacje „proof-of-leak” na DLS.

Praktyczne konsekwencje / ryzyko

  • Ryzyko prawno-operacyjne: opóźnienia w e-składaniu dokumentów i wyszukiwaniu wpisów mogą wstrzymywać transakcje nieruchomościowe, wpisy zastawów i postępowania cywilne.
  • Ryzyko prywatności: potencjalnie wrażliwe dane (akty własności, cesje, pełnomocnictwa, dane stron) mogą posłużyć do fraudów hipotecznych, kradzieży tożsamości czy ukierunkowanego phishingu kancelarii i obywateli. (Wnioski na bazie funkcji GSCCCA i typowych następstw exfiltracji danych.)
  • Ryzyko łańcucha dostaw: równoległe incydenty w firmach wspierających rynek kredytów (np. SitusAMC) zwiększają powierzchnię ataku na cały ekosystem „real-estate + legal”.

Rekomendacje operacyjne / co zrobić teraz

Dla jednostek sądowych i rejestrów:

  1. Segmentacja i „break-glass” dla kluczowych usług (wyszukiwarki, e-filing), izolacja aplikacji z dostępem do rejestrów archiwalnych.
  2. Zasada „3-2-1-1-0” dla kopii (3 kopie, 2 różne nośniki, 1 offline/immutable, 1 odseparowana, 0 błędów w testach odtwarzania).
  3. EDR + telemetryczne polisy na hostach back-office (monitoring tworzenia mutexów znanych rodzin, nadużyć Restart Managera, masowych operacji I/O na plikach). (IoC/TTPS wg analiz DF/Conti/Devman.)
  4. Playbook DLS-extortion: stały monitoring stron wyciekowych, gotowe szablony komunikatów i procedury dowodowe dla organów ścigania.

Dla kancelarii/notariuszy/pośredników:

  1. Weryfikacja integralności dokumentów i ścieżek aktowych przy wznowieniu usług GSCCCA; „red flagi” dla nietypowych próśb o przelewy/zmiany rachunków depozytowych.
  2. DMARC/DKIM/SPF + awareness pod kampanie spear-phishingowe podszywające się pod sądy/rejestry.
  3. Zasada minimalnego dostępu do repozytoriów spraw i danych klientów; szyfrowanie w spoczynku oraz DLP dla załączników aktowych.

Dla obywateli/stron postępowań:

  • Zachowaj potwierdzenia transakcji i weryfikuj statusy wpisów po pełnym przywróceniu usług; nie odpowiadaj na „pilne” e-maile o dopłaty do opłat sądowych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • GSCCCA vs. SitusAMC: w GSCCCA mamy deklaracje operatora ransomware o kradzieży i presję okupową; w SitusAMC firma potwierdziła wyłącznie exfiltrację, bez szyfrowania, ale z wpływem na dane klientów (różny model ataku, podobny skutek reputacyjny/operacyjny).
  • Devman vs. dojrzałe RaaS: według badań, narzędzia Devman noszą ślady pochodzenia z ekosystemu DragonForce/Conti i wykazują niedoróbki (np. samo-szyfrowanie notatek), co odróżnia je od stabilniejszych „marek” — ale model RaaS i presja medialna DLS są zbieżne.

Podsumowanie / kluczowe wnioski

  • GSCCCA prawidłowo zastosowała protokół obronny i ograniczenie usług do czasu weryfikacji bezpieczeństwa — to właściwy wzorzec w sektorze wymiaru sprawiedliwości.
  • „Devman” pozostaje młodą, ale aktywną operacją RaaS; mimo technicznych niedoskonałości, groźba publikacji danych jest realną dźwignią finansową.
  • Organizacje z łańcucha prawno-hipotecznego powinny zakładać scenariusz „exfiltration-first” i twarde kontrole wokół procesów składania/archiwizacji dokumentów.

Źródła / bibliografia

  1. The Record (Recorded Future News): opis incydentu GSCCCA, roszczenia Devman, oś czasu (25 listopada 2025). (The Record from Recorded Future)
  2. GSCCCA — komunikat o „credible and ongoing cybersecurity threat” na stronie głównej.
  3. Analyst1 (Jon DiMaggio): raport o uruchomieniu RaaS „Devman”, tło afiliacyjne i infrastruktura (październik 2025). (Analyst1)
  4. ANY.RUN: analiza wariantu Devman/DragonForce (1 lipca 2025). (ANY.RUN)
  5. SitusAMC: oświadczenie o incydencie exfiltracji danych (22–25 listopada 2025). (SitusAMC)

Uwaga redakcyjna: deklaracje sprawców (pojemność danych/kwota okupu/termin) pochodzą z ich kanałów i nie stanowią weryfikacji zawartości — traktuj je jako twierdzenia przestępców, dopóki instytucja nie potwierdzi zakresu incydentu.