Creștere alarmantă a atacurilor ransomware în România: peste 100 de cazuri numai în 2024, conform DNSC
Directoratul Național pentru Securitate Cibernetică (DNSC) a anunțat o intensificare a atacurilor cibernetice de tip ransomware în România pe parcursul anului 2024, după cum vei afla în cele ce urmează. Conform datelor oficiale, experții au intervenit în 101 incidente de securitate informatică, în care sistemele compromise au fost blocate, iar accesul la fișiere a fost condiționat de plata unei sume de bani către atacatori. Printre cazurile mediatizate se numără atacul asupra Primăriei Sectorului 5, unde infractorii au solicitat o recompensă de 5 milioane de dolari. Un alt exemplu demn de luat în seamă este compromiterea sistemului IT Hipocrate, folosit de 26 de spitale din țară, unde suma cerută a depășit 150.000 de euro. Firmele, țintele principale ale infractorilor cibernetici Analiza DNSC arată că majoritatea atacurilor au vizat mediul privat. Din cele 101 incidente investigate în 2024, 68 au afectat companii, de la firme mici până la organizații de mari dimensiuni. Sectorul public a fost, de asemenea, vizat, cu 20 de atacuri direcționate către instituții de stat, în timp ce 13 cazuri au implicat persoane fizice. Specialiștii au menționat, de altfel, faptul că hackerii preferă companiile și instituțiile deoarece acestea gestionează date sensibile și sunt mai predispuse să plătească răscumpărarea pentru a-și relua activitatea rapid. Chiar și așa, nici utilizatorii de sine stătători nu sunt scutiți de riscuri, mai ales dacă folosesc dispozitive neactualizate sau nu au soluții de securitate instalate. Pentru a reduce riscul unui atac ransomware, DNSC recomandă măsuri esențiale precum actualizarea constantă a software-ului, utilizarea unor soluții antivirus performante, implementarea unor politici stricte de backup și instruirea angajaților privind recunoașterea tentativelor de phishing. Incidente de tip ransomware 2024 / foto: DNSC Cele mai atacate surse din România, în 2024. Fenomenul ransomware a luat amploare Așadar, potrivit DNSC, citat de HotNews.ro, țintele principale ale hackerilor au fost: Societatea Romanian Soft Company, dezvoltatorul platformei Hipocrate, care oferă servicii de fluxuri interne către unități spitalicești. În urma atacului un număr de 26 de spitale au fost vizate în mod direct, fiind în imposibilitatea de a-și desfășura activitatea pentru aproximativ o săptămână. Prin activitatea sa, DNSC analizat si investigat binarul malițios a identificat în infrastructura companiei, ulterior a generat un set de reguli YARA si a emis recomandări ce au fost diseminate către toate spitalele cât si partenerilor europeni, membrii ai CSIRT Network, Dentru a identifica posibila existentă a programului malițios pe sistemele informatice utilizate. Societățile din grupul Electrica, având un impact major asupra serviciilor publice oferite de către Electrica Furnizare și Distribuție Energie Electrică Romania, cu consecința afectării unui număr de peste servere si stații de lucru aflate la nivelul sucursalelor București, Ploiesti, Brașov si Cluj. Atacul a fost notificat către DNSC la data de 9 decembrie 2024 si s-a procedat la colectarea de probe de la fata locului. Urmare a analizei efectuate a fost identificat criptorul folosit de către atacatori, s-a creat o regulă YARA care a fost publicată pe site-ul Directoratului. Totodată, au fost transmis un raport specific ce conținea indicatori de compromitere, tehnicile tacticile tilizate de către atacatori pentru compromiterea infrastructuri în vederea sanitizării complete a acesteia Primăria Municipiului Timișoara precum și instituții din subordinea acestora precum Direcția Fiscală a Municipiului Timişoara si Direcția Generală a Poliției Locale Timișoara. In urma activităților specifice derulate de către specialiștii Directoratului, s-a reușit recuperarea completă a datelor critice precum si o parte din datele neesențiale. De asemenea, au fost emise recomandari pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip. Infrastructura IT a proiectului „Sistemul National de Management privind Dizabilitatea” având ca beneficiar Autoritatea Natională pentru Protecția Drepturilor Persoanelor cu Dizabilităţi (ANPDPD) care cuprinde toate informațiile despre persoanele cu dizabilități si în care operează toate structurile specifice ale Direcția Generală de Asistență Socială si Protecția Copilului (DGASPC). Specialiștii Directoratului au identificat mai multe exfiltrări de conturi compromise (leaked), fiind făcute îndrumări privind masurile necesar a fi urmate pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip. Primăria Sectorului 5 a Municipiului București, care a avut un impact major asupra serviciilor puse la dispoziție cetătenilor, fiind afectate serverele de tip Domain Controller, centrala telefonică a Poliției Locale și stații de lucru. Specialiștii Directoratului au identificat exfiltrari de conturi compromise (leaked) fiind făcute îndrumari privind masurile necesare a fi urmate pentru limitarea eventualelor prejudicii. Companiile SoftTehnica și FreyaPOS (prestatori de soluții software), fiind afectate mașini virtuale din producție precum și copiile de siguranță aferente, blocandu-se astfel activitatea pentru aproximativ o săptămână. În urma activităților specifice derulate, s-a reușit recuperarea completă a datelor critice precum și o parte din datele neesenţiale. Societatea Binbox Global Services, furnizoare de servicii de cazduíre web. cloud computing și alte servicii conexe, fiind compromisă întreaga infrastructură. În urma activităților specifice derulate, s-a reușit recuperarea completă a datelor critice precum si o parte din datele neesentiale. Compania Dotro Telecom, furnizoare de servicii de telefonie si internet, fiind afectată intreaga infrastructură și, implicit, nu mai puţin de sisteme și peste utilizatori. S-a reușit recuperarea in proporție de peste 99% a datelor criptate. Societatea Agricola International, entitate care desfāșoară activități de producție, procesare și distribuție de alimente, fiind afectate sisteme și utilizatori, cu consecința blocării activității companiei mai multe ore. Prin activitatea sa, Directoratul a identificat o serie de Indicatori de Compromitere (loC) precum și mai multe conturi de utilizator compromise, fiind transmis un raport detaliat cu privire la necanismele producerii incidentului cíbernetic pornind de la premisele analitice si datele informatice prelevate.
Un singur cuvânt greșit a ruinat o companie veche de 158 de ani: lecția dură a unei parole slabe
O simplă greșeală umană – o parolă prea ușor de ghicit – a dus la colapsul unei companii britanice cu o istorie de peste un secol și jumătate. KNP Logistics, un important transportator din Northamptonshire, a fost forțată să-și închidă porțile în urma unui atac ransomware care a paralizat complet infrastructura IT. 700 de angajați au rămas fără locuri de muncă, iar cazul a devenit un exemplu emblematic al fragilității digitale cu care se confruntă mii de afaceri. Acest atac nu este un incident izolat. Este parte a unei epidemii cibernetice care lovește constant companii din toate sectoarele – de la retaileri de top până la firme de logistică. Ce au toate în comun? O securitate informatică slabă și o cultură organizațională care încă subestimează amenințarea reală a criminalității digitale. În cazul KNP, ancheta a relevat că intrarea în sistemul intern a fost posibilă prin ghicirea parolei unui angajat. O greșeală aparent banală, dar care a oferit acces total grupării de hackeri Akira. Aceștia au criptat datele companiei și au blocat accesul la toate sistemele esențiale pentru funcționare. Au lăsat în urmă un mesaj cinic: „Dacă citești asta, înseamnă că infrastructura internă a companiei tale este complet sau parțial moartă”. Deși KNP avea asigurare cibernetică și susținea că respectă standardele industriei, compania nu avea mijloacele să plătească răscumpărarea estimată la cinci milioane de lire sterline. Așa că datele au fost pierdute definitiv, iar firma – cunoscută în Regatul Unit sub brandul „Knights of Old” – a fost nevoită să se închidă. Directorul companiei, Paul Abbott, nu i-a spus niciodată angajatului vizat că parola sa a fost poarta de intrare pentru atacatori. „Ai vrea să știi dacă a fost vina ta?”, întreabă el retoric. Însă lecția este clară: în era digitală, securitatea nu mai este opțională, ci o responsabilitate colectivă în orice organizație. Ransomware-ul: bomba digitală a secolului XXI Atacul asupra KNP este doar unul din cele 19.000 de cazuri estimate anul trecut în Marea Britanie. Ransomware-ul a devenit cea mai periculoasă formă de criminalitate cibernetică, iar în 2024 se preconizează că va fi cel mai grav an de până acum în acest sens. Specialiștii în securitate de la National Cyber Security Centre (NCSC) și National Crime Agency (NCA) avertizează că fenomenul a evoluat. Hackerii nu mai sunt doar experți tehnici izolați. Mulți provin din generația care a crescut cu jocurile online și folosesc metode de inginerie socială pentru a păcăli angajați sau echipe de suport tehnic. Intrarea în sistem nu mai necesită neapărat un atac sofisticat – uneori e suficient un apel telefonic convingător. „E o generație nouă de hackeri, care nu mai are nevoie de cunoștințe tehnice avansate”, spune Suzanne Grimmer, coordonatoarea unei echipe NCA. Atacurile au aproape dublat frecvența de când ea a preluat conducerea unității. De ce sunt aceste atacuri atât de frecvente? Pentru că sunt profitabile. Într-o treime dintre cazuri, companiile plătesc răscumpărările. Lipsa obligației legale de a raporta aceste atacuri sau plăți contribuie la perpetuarea fenomenului. E timpul pentru o „revizie tehnică” obligatorie În Marea Britanie se discută deja despre obligativitatea unui „cyber-MOT” – o formă de inspecție periodică a sistemelor IT, similară cu reviziile tehnice auto. Paul Abbott, fostul director al KNP, susține că firmele ar trebui să fie obligate să demonstreze că au sisteme de protecție actualizate. „Trebuie reguli care să te facă mai rezistent în fața criminalității digitale”, spune el. De asemenea, guvernul britanic analizează interzicerea plăților de răscumpărare de către entitățile publice și introducerea unui sistem în care firmele private să ceară aprobarea statului înainte de a plăti. Ideea e să nu mai fie alimentat cercul vicios care transformă ransomware-ul într-o afacere înfloritoare pentru infractori. Tot mai mulți experți cer o schimbare de paradigmă: securitatea cibernetică nu trebuie să fie doar responsabilitatea departamentului IT, ci un element central în toate deciziile de business. Richard Horne, CEO al NCSC, atrage atenția că „organizațiile trebuie să ia măsuri reale pentru a-și securiza sistemele”. Realitatea dură e că hackerii nu trebuie să găsească o breșă sofisticată. E suficient ca tu, ca angajat, să folosești o parolă slabă sau să deschizi un atașament suspect. Un moment de neatenție poate însemna pierderea a milioane și falimentul unei companii întregi. Poate că este momentul să te întrebi: cât de sigur e, de fapt, sistemul în care lucrezi?
Cum să îți protejezi backup-urile de atacurile ransomware sofisticate. Soluții care îți fac viața mai ușoară, dar și mai sigură
Atacurile ransomware au evoluat din simple tentative de blocare a accesului la date în campanii extrem de bine coordonate, ce vizează mai întâi și mai ales sistemele de backup, ultima ta linie de apărare. Înainte de a cripta mediul de producție, atacatorii vizează backup-urile pentru a-ți bloca orice posibilitate de recuperare, crescând astfel șansele ca victimele să plătească răscumpărarea cerută. Aceste atacuri sunt planificate meticulos pentru a anula orice apărare: atacatorii dezactivează agenții de backup, șterg snapshot-uri, modifică politicile de retenție, criptează volumele de backup (în special cele accesibile prin rețea) și exploatează vulnerabilități în platformele integrate de backup, scrie The Hacker News. Prin urmare, un mediu de backup construit fără a ține cont de acest peisaj amenințător evolutiv este extrem de vulnerabil. Greșeli comune care expun backup-urile Lipsa unei separări clare între sistemele de producție și cele de backup este una dintre cele mai mari vulnerabilități. Backup-urile locale sau snapshot-urile aflate în același mediu cu serverele de producție pot fi ușor descoperite, șterse sau criptate. Lipsa izolării adecvate permite atacatorilor să se deplaseze lateral prin rețea, compromițând rapid întreaga infrastructură. Metodele frecvente prin care atacatorii compromit backup-urile includ exploatarea Active Directory pentru escaladare de privilegii, preluarea gazdei virtuale prin vulnerabilități ale hypervisorului, atacuri asupra software-ului de backup pe Windows și exploatarea CVE-urilor cunoscute. De asemenea, încrederea exclusivă într-un singur furnizor cloud pentru backup poate duce la pierderi totale, mai ales dacă infrastructura de backup și sistemele de producție sunt în același ecosistem. Astfel, cu credențiale furate, atacatorii pot compromite ambele simultan. Strategia 3-2-1-1-0 pentru backup-uri rezistente Regula clasică 3-2-1 (3 copii ale datelor, pe 2 medii diferite, cu 1 copie offsite) nu mai este suficientă. Noua strategie 3-2-1-1-0 recomandă: 3 copii ale datelor (1 producție + 2 backup-uri) pe 2 medii diferite (ex: disc local și stocare cloud) cu 1 copie offsite, izolată geografic 1 copie imuabilă (care nu poate fi modificată sau ștearsă) 0 erori – backup-urile trebuie testate și monitorizate constant Pe lângă acestea, mediul de backup trebuie consolidat cu bune practici: rețele segmentate fără trafic inbound din internet, control strict al accesului cu roluri și autentificare multifactor (MFA), criptarea datelor la nivel de agent, sisteme păstrate actualizate și dispozitive protejate fizic. Securizarea backup-urilor cloud Pentru protecția în cloud este crucială segmentarea și izolarea completă față de mediul de producție. Backup-urile trebuie stocate într-un alt ecosistem cloud, cu autentificare separată, fără credențiale partajate. Astfel, un atac asupra mediului de producție nu afectează datele de backup.
Avertismentul Kaspersky – Atacurile de tip ransomware au crescut și o vor mai face. Cum te păzești de escroci
Kaspersky avertizează despre o creștere globală a incidentelor ransomware, cu accent pe tacticile emergente bazate pe AI și vulnerabilități neglijate, în preajma Zilei Internaționale de Luptă Împotriva Ransomware. În perspectiva Zilei Internaționale de Luptă Împotriva Ransomware (12 mai), Kaspersky a publicat raportul global privind amenințările de tip ransomware pentru anul 2025. Conform datelor colectate prin Kaspersky Security Network, Orientul Mijlociu, regiunea Asia-Pacific (APAC) și Africa înregistrează cele mai mari procente de utilizatori afectați, în timp ce America Latină, CSI și Europa au fost mai puțin vizate. Ce s-a întâmplat, de fapt, în perioada 2023-2024 În intervalul 2023–2024, ponderea globală a utilizatorilor implicați în incidente de ransomware a crescut ușor, de la 0,42% la 0,44%. Deși aparent redus, acest procent reflectă natura țintită a acestor atacuri: grupările ransomware vizează entități cu valoare strategică, nu distribuie malware-ul la scară largă. În APAC, companiile mari, în special cele din infrastructură și tehnologie, au fost ținte predilecte, pe fondul unei digitalizări accelerate și al implementării recente a unor legi privind protecția datelor. În Orientul Mijlociu, diversitatea nivelurilor de securitate cibernetică a contribuit la vulnerabilitate. În Africa, atacurile sunt în creștere în țări cu economii emergente precum Nigeria și Africa de Sud, în special în sectorul guvernamental și financiar. Europa, și ea expusă atacurilor ransomware Europa, deși expusă, beneficiază de reglementări stricte și infrastructură matură de apărare cibernetică, ceea ce limitează amploarea atacurilor. Cu toate acestea, sectoare precum educația, agricultura și producția continuă să fie vizate. Raportul subliniază și apariția unor noi tactici de atac. Gruparea FunkSec, activă din decembrie 2024, folosește intens AI pentru a genera cod ransomware dificil de detectat. Modelul Ransomware-as-a-Service (RaaS) continuă să domine, facilitând atacuri complexe chiar și pentru infractori fără competențe avansate. Se preconizează o intensificare a exploatării dispozitivelor IoT, a electrocasnicelor inteligente și a componentelor hardware slab configurate. Utilizarea modelelor lingvistice de mari dimensiuni (LLM) pentru automatizarea codului malware, a campaniilor de phishing și a distribuirii ransomware-ului reprezintă o evoluție îngrijorătoare. Tot mai mulți actori pot desfășura atacuri sofisticate, reducând bariera tehnologică. Marc Rivero, cercetător Kaspersky, recomandă o abordare stratificată a apărării: actualizarea constantă a sistemelor, monitorizarea traficului, backupuri offline, soluții anti-APT și EDR, precum și instruirea periodică a echipelor. Kaspersky oferă și unelte gratuite precum Anti-Ransomware Tool for Business. Raportul complet este disponibil, de altfel, pe Securelist.com.
Țara care se confruntă cu o epidemie de atacuri cibernetice la magazine. Fenomenul devine din ce în ce mai greu de controlat
Marks & Spencer, Harrods și Co-Op confirmă incidente de securitate, în contextul unei campanii ransomware investigate de autoritățile britanice. Concret, mai mulți retaileri de top din Marea Britanie au fost vizați recent de atacuri cibernetice, iar autoritățile suspectează implicarea unor grupări de ransomware active la nivel internațional. Atacurile ransomware asupra magazinelor au fost confirmate de companii specializate Atacurile, confirmate de companii precum Marks & Spencer, Harrods și Co-Op, sunt monitorizate de Centrul Național de Securitate Cibernetică (NCSC), instituția responsabilă de protecția cibernetică a infrastructurilor critice din Regatul Unit, scrie publicația Dark Reading. Directorul NCSC, dr. Richard Horne, a declarat că agenția colaborează cu organizațiile afectate și a avertizat că „aceste incidente ar trebui să fie un semnal de alarmă pentru toate organizațiile”. Potrivit unei investigații publicate pe 2 mai de Bloomberg, gruparea DragonForce, cunoscută pentru modelul său ransomware-as-a-service (RaaS), și-a asumat responsabilitatea pentru atacurile asupra celor trei retaileri. DragonForce a devenit activă în 2023, permițând afiliaților să lanseze propriile campanii de extorcare folosind instrumentele dezvoltate de grup sau altele proprii. În același timp, gruparea Scattered Spider, activă în ciuda unor arestări anterioare, este considerată de unii experți ca posibil autor al acestor atacuri. Ce se bănuiește, ce se știe Conform unei investigații publicate de Bleeping Computer, Scattered Spider ar fi utilizat ransomware-ul DragonForce în atacul asupra Marks & Spencer. Compania de securitate Silent Push a declarat într-un buletin recent că este „probabil” ca toate cele trei incidente să fi fost opera grupului Scattered Spider. Deși nu există o atribuire oficială, analiștii din cadrul Google Threat Intelligence Group au confirmat că gruparea Scattered Spider este activă, dar au subliniat dificultatea de a stabili cu certitudine responsabilitatea din cauza structurii informale a grupului. „Actorii vin și pleacă, iar asocierile nu sunt foarte ferme. Asta face dificilă atât atribuirea, cât și întreruperea completă a activității lor,” a explicat John Hultquist, analist-șef al diviziei Google. Atacurile semnalează, dacă mai era nevoie, un nou val de amenințări informatice concentrate asupra sectorului de retail din Marea Britanie, iar experții avertizează că tendința ar putea continua. Mai mult, nu garantează absolut nimeni că acest lucru nu s-ar putea întâmpla chiar și la noi în țară.