Nou avertisment DNSC. NU răspundeți mesajului! Veți rămâne instant fără bani

SURSA FOTO: Dreamstime

7 mai 2025, 23:12 de Iulian Luca

Directoratul Național de Securitate Cibernetică (DNSC) trage un semnal de alarmă privind intensificarea atacurilor ransomware asupra companiilor din sectorul financiar-contabil. Atacurile sunt realizate prin e-mail și implică criptarea datelor cu BitLocker, în scopul obținerii unor sume de bani în criptomonede.

DNSC: Companiile financiar-contabile, ținta principală a atacurilor

Potrivit DNSC, atacurile recente au vizat în mod special companiile din domeniul financiar-contabil care dispun de resurse materiale semnificative. Acestea sunt atacate prin intermediul unor campanii de tip spear phishing, în care atacatorii trimit fișiere infectate prin e-mail. Scopul acestor atacuri este obținerea unor plăți de răscumpărare în criptomonede pentru decriptarea datelor compromise.

Specialiștii precizează că plata este solicitată prin platforme de mesagerie, unde fiecare victimă primește un canal dedicat. Comunicarea cu atacatorii se face exclusiv prin mesaje, iar în mesajele de răscumpărare se creează o presiune psihologică prin avertismente că datele vor fi șterse dacă nu se ia legătura urgent cu aceștia.

„Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicaţii, iar dialogul cu atacatorii se realizează doar prin mesaje. În cadrul mesajului de răscumpărare se menţionează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind şterse. În acest fel se creează starea de panică/urgenţă, pe care mizează atacatorii, în vederea efectuării plăţii răscumpărării”, avertizează specialiştii în securitate cibernetică.

Cum funcționează atacurile

Atacurile identificate utilizează fișiere .pdf care conțin cod JavaScript ascuns. Acest cod rulează prin Windows Script Host (WSH) și folosește componente ActiveXObject pentru a interacționa cu sistemul de operare. Principalele obiective sunt furtul de informații și executarea de comenzi de la distanță prin intermediul unui server de comandă și control (C2).

Fișierul dăunător analizat are capabilități avansate de control de la distanță, fiind capabil să execute comenzi primite de la serverul C2. Acesta poate extrage date, manipula fișiere și detecta caracteristici ale sistemului infectat.

Un risc critic semnalat de DNSC este reprezentat de utilizarea automată a BitLocker. Prin comenzi automate, atacatorii pot cripta întregul sistem, blocând accesul la datele compromise. Acest comportament este specific atacurilor ransomware și poate afecta grav confidențialitatea, integritatea și disponibilitatea sistemului afectat.

De asemenea, pentru a intensifica presiunea, atacatorii includ în mesajele transmise referințe la articole din presa online care menționează cuantumul ridicat al amenzilor GDPR, utilizând aceste informații ca element de intimidare.

DNSC recomandă companiilor revizuirea imediată a politicilor de execuție a scripturilor. De asemenea, este necesară evaluarea expunerii sistemelor IT la atacuri care implică ActiveXObject și Windows Script Host. Aceste măsuri sunt considerate esențiale pentru prevenirea accesului neautorizat și protejarea infrastructurii digitale.