Avertisment oficial: Societăţi comerciale din domeniul financiar-contabil vizate de atacuri cibernetice de tip ransomware / Cum funcţionează atacul / Atacatorii cer plata în monedă crypto

Directoratul Naţional de Securitate Cibernetică avertizează, miercuri, că societăţi comerciale din domeniul financiar-contabil vizate de atacuri cibernetice de tip ransomware, transmite News.ro.

”Vă informăm că în ultima perioadă s-au intensificat atacurile cibernetice de tip ransomware, prin utilizarea BitLocker, prin intermediul serviciilor de e-mail, care vizează companiile din domeniul financiar-contabil. Atacatorii vizează societăţi comerciale din domeniul financiar-contabil, cu precădere, acele companii care au disponibilităţi materiale, în vederea efectuării plăţii răscumpărării. În vederea decriptării sunt solicitate diferite sume în monedă crypto”, a transmis, miercuri, DNSC.

Potrivit specialiştilor, dovada efectuării acestor plăţi este solicitată prin intermediul diferitelor platforme de mesagerie.

”Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicaţii, iar dialogul cu atacatorii se realizează doar prin mesaje. În cadrul mesajului de răscumpărare se menţionează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind şterse. În acest fel se creează starea de panică/urgenţă, pe care mizează atacatorii, în vederea efectuării plăţii răscumpărării”, avertizează specialiştii în securitate cibernetică.

Potrivit acestora, atacatorii menţionează articole din presa online în cadrul cărora se reliefează faptul că amenzile GDPR sunt foarte mari, prin urmare este folosit un alt instrument pentru a crea presiune psihologică asupra companiilor ce au căzut deja victime.

”În cadrul campaniei de tip spear phishing identificate, atacatorii urmăresc infectarea iniţială a utilizatorilor vizaţi, prin ataşarea unor fişiere dăunătoare de tip .pdf. Acest fişier .pdf conţine de fapt un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) şi utilizează ActiveXObject pentru a interacţiona cu sistemul de operare. Scopul său principal este furtul de informaţii şi executarea de comenzi de la distanţă, folosind un server de comandă şi control (C2)”, explică DNSC.

Potrivit specialiştilor, fişierul dăunător analizat prezintă capacităţi avansate de control de la distanţă, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate şi invocare dinamică de cod JavaScript.

”Combină funcţionalităţi de exfiltrare de date, manipulare fişiere şi detecţie sistem, fiind capabil să afecteze confidenţialitatea, integritatea şi disponibilitatea sistemului afectat. Un risc critic suplimentar este reprezentat de activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor şi blocarea accesului la datele compromise, într-un scenariu similar atacurilor de tip ransomware”, a mai transmis DNSC.

Se recomandă revizuirea imediată a politicilor de execuţie scripturi şi evaluarea expunerii sistemelor la atacuri care implică ActiveX Object şi WSH.