Creștere alarmantă a atacurilor ransomware în România: peste 100 de cazuri numai în 2024, conform DNSC
Directoratul Național pentru Securitate Cibernetică (DNSC) a anunțat o intensificare a atacurilor cibernetice de tip ransomware în România pe parcursul anului 2024, după cum vei afla în cele ce urmează.
Conform datelor oficiale, experții au intervenit în 101 incidente de securitate informatică, în care sistemele compromise au fost blocate, iar accesul la fișiere a fost condiționat de plata unei sume de bani către atacatori.
Printre cazurile mediatizate se numără atacul asupra Primăriei Sectorului 5, unde infractorii au solicitat o recompensă de 5 milioane de dolari.
Un alt exemplu demn de luat în seamă este compromiterea sistemului IT Hipocrate, folosit de 26 de spitale din țară, unde suma cerută a depășit 150.000 de euro.
Firmele, țintele principale ale infractorilor cibernetici
Analiza DNSC arată că majoritatea atacurilor au vizat mediul privat. Din cele 101 incidente investigate în 2024, 68 au afectat companii, de la firme mici până la organizații de mari dimensiuni.
Sectorul public a fost, de asemenea, vizat, cu 20 de atacuri direcționate către instituții de stat, în timp ce 13 cazuri au implicat persoane fizice.
Specialiștii au menționat, de altfel, faptul că hackerii preferă companiile și instituțiile deoarece acestea gestionează date sensibile și sunt mai predispuse să plătească răscumpărarea pentru a-și relua activitatea rapid.
Chiar și așa, nici utilizatorii de sine stătători nu sunt scutiți de riscuri, mai ales dacă folosesc dispozitive neactualizate sau nu au soluții de securitate instalate.
Pentru a reduce riscul unui atac ransomware, DNSC recomandă măsuri esențiale precum actualizarea constantă a software-ului, utilizarea unor soluții antivirus performante, implementarea unor politici stricte de backup și instruirea angajaților privind recunoașterea tentativelor de phishing.
Cele mai atacate surse din România, în 2024. Fenomenul ransomware a luat amploare
Așadar, potrivit DNSC, citat de HotNews.ro, țintele principale ale hackerilor au fost:
Societatea Romanian Soft Company, dezvoltatorul platformei Hipocrate, care oferă servicii de fluxuri interne către unități spitalicești. În urma atacului un număr de 26 de spitale au fost vizate în mod direct, fiind în imposibilitatea de a-și desfășura activitatea pentru aproximativ o săptămână. Prin activitatea sa, DNSC analizat si investigat binarul malițios a identificat în infrastructura companiei, ulterior a generat un set de reguli YARA si a emis recomandări ce au fost diseminate către toate spitalele cât si partenerilor europeni, membrii ai CSIRT Network, Dentru a identifica posibila existentă a programului malițios pe sistemele informatice utilizate.
Societățile din grupul Electrica, având un impact major asupra serviciilor publice oferite de către Electrica Furnizare și Distribuție Energie Electrică Romania, cu consecința afectării unui număr de peste servere si stații de lucru aflate la nivelul sucursalelor București, Ploiesti, Brașov si Cluj. Atacul a fost notificat către DNSC la data de 9 decembrie 2024 si s-a procedat la colectarea de probe de la fata locului. Urmare a analizei efectuate a fost identificat criptorul folosit de către atacatori, s-a creat o regulă YARA care a fost publicată pe site-ul Directoratului. Totodată, au fost transmis un raport specific ce conținea indicatori de compromitere, tehnicile tacticile tilizate de către atacatori pentru compromiterea infrastructuri în vederea sanitizării complete a acesteia
Primăria Municipiului Timișoara precum și instituții din subordinea acestora precum Direcția Fiscală a Municipiului Timişoara si Direcția Generală a Poliției Locale Timișoara. In urma activităților specifice derulate de către specialiștii Directoratului, s-a reușit recuperarea completă a datelor critice precum si o parte din datele neesențiale. De asemenea, au fost emise recomandari pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip.
Infrastructura IT a proiectului „Sistemul National de Management privind Dizabilitatea” având ca beneficiar Autoritatea Natională pentru Protecția Drepturilor Persoanelor cu Dizabilităţi (ANPDPD) care cuprinde toate informațiile despre persoanele cu dizabilități si în care operează toate structurile specifice ale Direcția Generală de Asistență Socială si Protecția Copilului (DGASPC). Specialiștii Directoratului au identificat mai multe exfiltrări de conturi compromise (leaked), fiind făcute îndrumări privind masurile necesar a fi urmate pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip.
Primăria Sectorului 5 a Municipiului București, care a avut un impact major asupra serviciilor puse la dispoziție cetătenilor, fiind afectate serverele de tip Domain Controller, centrala telefonică a Poliției Locale și stații de lucru. Specialiștii Directoratului au identificat exfiltrari de conturi compromise (leaked) fiind făcute îndrumari privind masurile necesare a fi urmate pentru limitarea eventualelor prejudicii.
Companiile SoftTehnica și FreyaPOS (prestatori de soluții software), fiind afectate mașini virtuale din producție precum și copiile de siguranță aferente, blocandu-se astfel activitatea pentru aproximativ o săptămână. În urma activităților specifice derulate, s-a reușit recuperarea completă a datelor critice precum și o parte din datele neesenţiale.
Societatea Binbox Global Services, furnizoare de servicii de cazduíre web. cloud computing și alte servicii conexe, fiind compromisă întreaga infrastructură. În urma activităților specifice derulate, s-a reușit recuperarea completă a datelor critice precum si o parte din datele neesentiale.
Compania Dotro Telecom, furnizoare de servicii de telefonie si internet, fiind afectată intreaga infrastructură și, implicit, nu mai puţin de sisteme și peste utilizatori. S-a reușit recuperarea in proporție de peste 99% a datelor criptate.
Societatea Agricola International, entitate care desfāșoară activități de producție, procesare și distribuție de alimente, fiind afectate sisteme și utilizatori, cu consecința blocării activității companiei mai multe ore. Prin activitatea sa, Directoratul a identificat o serie de Indicatori de Compromitere (loC) precum și mai multe conturi de utilizator compromise, fiind transmis un raport detaliat cu privire la necanismele producerii incidentului cíbernetic pornind de la premisele analitice si datele informatice prelevate.
