Prokurator Generalny Pensylwanii potwierdza wyciek danych po ataku INC Ransom — co wiemy i co robić

Wprowadzenie do problemu / definicja luki

Biuro Prokuratora Generalnego stanu Pensylwania (Office of Attorney General, OAG) potwierdziło, iż po sierpniowym ataku ransomware doszło do nieautoryzowanego dostępu do plików zawierających dane osobowe i medyczne. W komunikacie wskazano, iż dla części osób ujawnione informacje mogą obejmować imię i nazwisko, numer Social Security (SSN) i/lub dane medyczne. OAG uruchomiło dedykowaną infolinię dla poszkodowanych (1-833-353-8060).

W skrócie

• Incydent wykryto 9 sierpnia 2025 r.; początkowo sparaliżował stronę WWW, pocztę i telefony OAG.
• OAG odmówiło zapłaty okupu; we wrześniu potwierdzono, iż był to atak ransomware.
• Grupa INC Ransom przypisała sobie atak i twierdzi, iż wykradła 5,7 TB danych (roszczenie sprawców).
• Niezależni badacze łączyli możliwy wektor wejścia z publicznie wystawionymi urządzeniami Citrix NetScaler podatnymi na CVE-2025-5777 („CitrixBleed 2”) — to hipoteza, nie potwierdzenie OAG.

Kontekst / historia / powiązania

BleepingComputer opisał 17 listopada 2025 r., iż OAG potwierdziło naruszenie danych po sierpniowym ataku oraz wcześniejszą odmowę zapłaty okupu. We wrześniu urząd informował o trwającej niedostępności usług i o tym, iż incydent nie powinien wpływać na prowadzone postępowania.

Równolegle, 20–23 września, INC Ransom dodało wpis o OAG na swojej stronie wyciekowej i opublikowało próbki rzekomo skradzionych dokumentów; media branżowe opisały roszczenie sprawców i wspomniały o 5,7 TB danych. OAG wówczas nie potwierdziło skali exfiltracji.

Analiza techniczna / szczegóły luki

• Możliwy wektor: CitrixBleed 2 (CVE-2025-5777). Według doniesień prasowych i wpisów badaczy, w infrastrukturze OAG miały znajdować się publicznie dostępne urządzenia Citrix NetScaler podatne na CVE-2025-5777, nazwane „CitrixBleed 2” ze względu na podobieństwo do CitrixBleed z 2023 r. (CVE-2023-4966). Uwaga: OAG nie wskazało oficjalnie wektora ataku.
• Charakterystyka CVE-2025-5777. To błąd prowadzący do odczytu pamięci i przechwycenia sesji w NetScalerach, aktywnie wykorzystywany w 2025 r.; podatność została szeroko opisana w materiałach producenta i firm bezpieczeństwa. (Kontekst i nazewnictwo wg Tenable).
• TTP INC Ransom. Grupa działa w modelu RaaS od lipca 2023 r., stosuje podwójny wymus (szyfrowanie + exfiltracja/wyciek), wykorzystuje phishing oraz eksploatację znanych luk (w przeszłości m.in. w NetScaler).

Praktyczne konsekwencje / ryzyko

• Ryzyko kradzieży tożsamości: wyciek SSN i danych medycznych zwiększa prawdopodobieństwo otwierania fałszywych kont, refund fraud w ochronie zdrowia oraz ukierunkowanych kampanii socjotechnicznych. (Zakres danych wg OAG).
• Długotrwały wpływ operacyjny: choćby po przywróceniu usług, sprawcy mogą wykorzystywać wykradzione informacje do wtórnych ataków (impersonacja urzędników/prawników, spear-phishing). (Roszczenia o 5,7 TB to przez cały czas twierdzenie przestępców).

Rekomendacje operacyjne / co zrobić teraz

Dla obywateli Pensylwanii potencjalnie dotkniętych incydentem:

1. Skontaktuj się z infolinią OAG (1-833-353-8060) w godzinach 08:00–20:00 ET w dni robocze; sprawdź, czy Twoje dane dotyczące tożsamości/zdrowia mogły być w plikach.
2. Zamrożenie kredytu (credit freeze) i alert fraudowy u biur kredytowych; monitorowanie raportów kredytowych przez minimum 12–24 mies.
3. Ostrożność wobec phishingu: spodziewaj się prób podszywania się pod OAG, sądy, ubezpieczycieli.
4. Monitoruj świadczenia zdrowotne (Explanation of Benefits) i żądaj korekt nadużyć.

Dla organizacji publicznych i przedsiębiorstw:

1. Natychmiastowa walidacja ekspozycji NetScaler/Edge: o ile używasz Citrix NetScaler/ADC/Gateway — potwierdź wersję i zaaplikuj poprawki/mitigacje dla CVE-2025-5777; unieważnij sesje, rotuj ciasteczka/sekrety, wymuś ponowne logowanie.
2. Hunting po wskaźnikach przejęcia sesji (nietypowe logowania, zmiany IP w aktywnych sesjach, brak MFA-promptów); sprawdź logi WAF/VPN.
3. Segregacja i hardening systemów prawniczych/archiwów (dostęp wg zasady najniższych uprawnień, SSO z MFA odporne na phishing, DLP).
4. Plan na wycieki danych: gotowe szablony notyfikacji, kontrakty na monitoring tożsamości dla poszkodowanych, playbook komunikacji kryzysowej.
5. Testy odtwarzania i tabletop dla scenariusza „podwójnego wymuszenia” (negocjacje ≠ płatność; polityka „no-pay” + koordynacja z LE).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

To kolejny poważny incydent ransomware wobec instytucji stanowych w Pensylwanii w ostatnich latach (2017, 2020). W odróżnieniu od minionych spraw, obecny atak wpisuje się w falę nadużyć CitrixBleed 2 przeciw urządzeniom brzegowym oraz trend masowej exfiltracji danych przed szyfrowaniem (double extortion).

Podsumowanie / najważniejsze wnioski

• Fakt: OAG potwierdziło wyciek danych i uruchomiło ścieżkę wsparcia dla obywateli.
• Fakt: Atak miał charakter ransomware, a okup nie został zapłacony.
• Roszczenie sprawców: INC Ransom przypisuje sobie kradzież 5,7 TB danych — tego OAG nie potwierdziło.
• Hipoteza badaczy: możliwy wektor to CVE-2025-5777 / CitrixBleed 2 na NetScaler — wymaga traktowania jako priorytetowej poprawki i unieważnienia sesji.

Źródła / bibliografia

1. BleepingComputer — „Pennsylvania AG confirms data breach after INC Ransom attack”, 17 listopada 2025. (BleepingComputer)
2. PR Newswire / OAG — „Media Notice: Pennsylvania Office of Attorney General Provides Notice of Data Incident”, 14 listopada 2025. (PR Newswire)
3. BleepingComputer — „Pennsylvania AG Office says ransomware attack behind recent outage”, 2 września 2025. (BleepingComputer)
4. Tenable — „FAQ o CVE-2025-5777 (CitrixBleed 2)”, 27 czerwca 2025. (Tenable®)
5. Comparitech — „Ransomware gang says it hacked Pennsylvania’s Attorney General”, 22 września 2025. (Comparitech)