Ultimul atac cibernetic cu ransomware în Spania foloseşte inteligenţa artificială/ Virusul a rămas în stare latentă o lună în sistemele informatice infestate timp în care a studiat cele mai valoroase informații și abia ulterior le-a criptat

Compania Smart Hc, expertă în securitate și tehnologii înalte, a lucrat timp de 36 de ore pentru recuperarea datelor furate de la companiile infectate de cele mai recente programe malware. Astfel a reușit să identifice ADN-ul ransomware de tip RYUK, diferit de restul, deoarece dispune de inteligență artificială, dezvăluie publicația spaniolă Tele Cinco, citată de Rador.

Acest virus a rămas în stare latentă timp de o lună aflând ce informații vitale ar trebui să fie criptate pentru a face companiile să cedeze la șantajul economic. Singura pretenție a acestrui ransomware este economică, ca a majorităţii programelor malware.

Dar are ceva care îl diferenţiază. Virusul a intrat în sistemele informatice printr-un e-mail în spam, în urmă cu o lună, iar atacul final a avut loc în weekend. Virusul a fost inoculat atunci când un lucrător cu o pregătire scăzută în domeniul securității cibernetice a deschis acel e-mail și, după ce a studiat cele mai „suculente” fișiere de date, a trecut la atacul final criptând mii de informații.

S-a întâmplat în cursul dimineții, când de obicei sunt mai puțini angajați și sunt mai puțini ingineri de sistem prezenți, după cum explică șeful de securitate de la Smart Hc, Ángel Pablo Avilés. Astfel, acest virus a reușit să se instaleze fără dificultate, iar când luni dimineața companiile au început să se deschidă, drama a devenit vizibilă.

Atacul a fost masiv. Au picat victime cele mai vulnerabile companii. Nu erau mari, cu excepția firmei de consultanță Everis și a uneia care nu a vrut să i se publice numele. Obiectivul era să provoace atâta teamă, încât să ajungă să plătească o răscumpărare.

Cererea pentru bitcoin în schimbul unui antidot este în medie de 600 de euro, sub formă de criptomonede, iar în companiile mari ar putea ajunge la 100.000. Dar plata nu garantează primirea antidotului. În mod normal, plata te transformă într-o țintă ușoară pentru atacuri ulterioare. Uneori, intrarea în acele fișiere în căutarea vaccinului poate deschide o altă poartă pentru un nou virus. Infectare dublă.

Experţii sfătuiesc: nu plătiţi niciodată, cereţi ajutor

Aviles, expertul în securitate, spune clar: „Nu plătiți niciodată, denunțați întotdeauna atacurile și oricât de mică este compania, solicitaţi ajutorul experților în salvarea și prevenirea atacurilor cibernetice”.

Sfaturile sunt clare: nu plătiți și, înainte de a fi infectat, actualizați, folosiți firewall-uri și copii de rezervă izolate. Unii dintre cei infectați aveau copie de rezervă, dar în aceeași structură atacată. Aceia au pierdut datele și se confruntă cu o problemă dublă.

Acest nou ransomware care a atacat în Spania nu a reuşit atâtea daune ca un alt virus celebru care a afectat orașul Baltimore și metroul San Francisco din SUA. Însă este considerat la fel de rău, prin utilizarea inteligenței artificiale.

Delincvenţii cibernetici operează din ţări din Est sau din China

În ceea ce privește infractorii cibernetici, aceștia operează probabil din China sau țări estice, cum ar fi organizația destructurată în România de către Europol, în cadrul operațiunii Bakovia.

Unitatea de combatere a criminalităţii tehnologice din Olanda a alertat autoritățile române asupra unui grup de cetățeni români care se aflau în spatele unui val de mesaje spam care pretindeau a veni de la companii cunoscute din țări precum Italia, Olanda și Regatul Unit. Momeala era un atașament, de obicei deghizat într-o factură.

Când deschideai fișierul atașat, se dezactiva ransomware-ul pentru a cripta fișierele de date (documente, fotografii, muzică, videoclipuri și multe altele) pe computerul infectat. Poliția română a arestat cinci suspecți pentru că ar fi răspândit CTB-Locker (Curve-Tor-Bitcoin Locker sau Citroni) și Cerber ransomware, închiriind malware-ul dintr-un set de ransomware-as-a-service (RaaS) pe dark web.

Potrivit Europol, poliția a percheziționat șase case din România în timpul unei operațiuni comune între poliția și procurorii români și olandezi, Agenția Națională de Combatere a Criminalității din Regatul Unit, FBI, Centrul European de Cibernetică (CE3) al Europol și grupul de lucru al Acțiunii Comune contra Criminalităţii Cibernetice (J-CAT).

Inspectorul șef Antonio López, de la Unitatea de Criminalitate Tehnologică, expert în atacuri cibernetice, explică faptul că adesea infractorii cibernetici nu se cunosc niciodată în persoană, ci sunt „colegi” ai Deep Web, care se unesc pentru atacuri cu scop economic.

Sursa: Telecinco.es/ Rador