Directoratul Național de Securitate Cibernetică avertizează că firme din domeniul financiar-contabil sunt vizate de atacuri cibernetice de tip ransomware.
”Vă informăm că în ultima perioadă s-au intensificat atacurile cibernetice de tip ransomware, prin utilizarea BitLocker, prin intermediul serviciilor de e-mail, care vizează companiile din domeniul financiar-contabil. Atacatorii vizează societăți comerciale din domeniul financiar-contabil, cu precădere, acele companii care au disponibilități materiale, în vederea efectuării plății răscumpărării. În vederea decriptării sunt solicitate diferite sume în monedă crypto”, a transmis DNSC.
28 mai Maratonul Fondurilor Europene
Potrivit specialiștilor, dovada efectuării acestor plăți este solicitată prin intermediul diferitelor platforme de mesagerie.
”Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicații, iar dialogul cu atacatorii se realizează doar prin mesaje. În cadrul mesajului de răscumpărare se menționează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind șterse. În acest fel se creează starea de panică/urgență, pe care mizează atacatorii, în vederea efectuării plății răscumpărării”, avertizează specialiștii în securitate cibernetică.
Potrivit acestora, atacatorii menționează articole din presa online în cadrul cărora se reliefează faptul că amenzile GDPR sunt foarte mari, prin urmare este folosit un alt instrument pentru a crea presiune psihologică asupra companiilor ce au căzut deja victime.
”În cadrul campaniei de tip spear phishing identificate, atacatorii urmăresc infectarea inițială a utilizatorilor vizați, prin atașarea unor fișiere dăunătoare de tip .pdf. Acest fișier .pdf conține de fapt un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul său principal este furtul de informații și executarea de comenzi de la distanță, folosind un server de comandă și control (C2)”, explică DNSC.
Potrivit specialiștilor, fișierul dăunător analizat prezintă capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate și invocare dinamică de cod JavaScript.
”Combină funcționalități de exfiltrare de date, manipulare fișiere și detecție sistem, fiind capabil să afecteze confidențialitatea, integritatea și disponibilitatea sistemului afectat. Un risc critic suplimentar este reprezentat de activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor și blocarea accesului la datele compromise, într-un scenariu similar atacurilor de tip ransomware”, a mai transmis DNSC.
Se recomandă revizuirea imediată a politicilor de execuție scripturi și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.
