Avertismentul DNSC despre o nouă amenințare cibernetică ce te poate lăsa fără bani în cont, infecții ransomware pentru firme mici

Directoratul Național de Securitate Cibernetică (DNSC) trage un semnal de alarmă privind o nouă serie de atacuri informatice de tip ransomware, care vizează în mod special companiile mici și mijlocii din domeniul financiar-contabil. Atacurile se desfășoară prin campanii bine orchestrate de spear phishing, utilizând e-mailuri aparent legitime și fișiere .pdf infectate, în spatele cărora se ascund coduri malițioase capabile să cripteze complet sistemele și să solicite răscumpărări în criptomonede.

Ceea ce face această amenințare și mai periculoasă este utilizarea abuzivă a funcției BitLocker , un instrument legitim al sistemului de operare Windows, care este exploatat pentru a bloca accesul complet la fișierele compromise. Odată ce atacul este reușit, utilizatorii sunt contactați prin aplicații de mesagerie, unde li se cere achitarea unei sume în monedă digitală, în schimbul unei chei de decriptare.

Cum funcționează atacul și ce urmăresc hackerii

Atacatorii exploatează un vector de infectare subtil: un fișier PDF aparent inofensiv, atașat la e-mailuri direcționate către firmele vizate. Acest document conține în realitate un cod JavaScript ascuns, care rulează prin intermediul Windows Script Host (WSH) și utilizează obiecte ActiveX pentru a interacționa direct cu sistemul victimei. Astfel, codul poate prelua controlul asupra computerului, poate transmite date către servere externe (C2) și poate executa comenzi de la distanță.

Un element-cheie al acestui atac este activarea automată a BitLocker – un mecanism obișnuit de criptare folosit de utilizatorii de Windows pentru protejarea datelor. În acest caz, este utilizat de atacatori pentru a bloca accesul la date, exact așa cum se întâmplă într-un scenariu clasic de ransomware.

Odată criptate fișierele, atacatorii deschid un canal de comunicare cu victima, în cadrul unor aplicații de chat, solicitând sume consistente în criptomonedă pentru a permite recuperarea datelor. Aceștia exercită presiune psihologică folosind amenințări legate de ștergerea datelor sau de posibile sancțiuni GDPR, în cazul în care compania afectată gestionează informații personale sensibile.

Recomandări pentru prevenirea unui astfel de atac

DNSC recomandă revizuirea urgentă a politicilor de execuție a scripturilor , în special cele care permit rularea automată de coduri prin WSH și ActiveXObject, tehnologii învechite, dar încă utilizate în multe rețele interne.

Alte măsuri critice includ:

Evitarea deschiderii fișierelor atașate necunoscute , chiar dacă vin sub forma unui PDF aparent legitim;
Utilizarea de soluții antivirus avansate și sisteme de detecție a comportamentului în rețea;
Implementarea de backup-uri frecvente și izolate de rețeaua principală, care să permită recuperarea rapidă în cazul unui atac;
Instruirea angajaților cu privire la riscurile de phishing și spear phishing;
Limitarea drepturilor de administrator pe stațiile de lucru, pentru a preveni activarea funcțiilor sensibile fără aprobare explicită.

Atacurile recente au demonstrat că firmele mici din domeniul financiar-contabil sunt ținte ideale pentru astfel de campanii, deoarece gestionează volume mari de date sensibile și sunt, adesea, mai puțin protejate decât corporațiile. De aceea, este vital ca toate companiile, indiferent de dimensiune, să trateze cu seriozitate amenințările cibernetice și să-și modernizeze infrastructura de securitate digitală.