Atenție! Companii din sectorul financiar-contabil sub asediul atacurilor cibernetice de tip ransomware
Directoratul Naţional de Securitate Cibernetică (DNSC) avertizează că societăţi comerciale din domeniul financiar-contabil sunt vizate de atacuri cibernetice de tip ransomware. Aceste atacuri s-au intensificat recent, fiind realizate prin utilizarea BitLocker și prin intermediul serviciilor de e-mail.
Atacatorii se concentrează pe companiile care dispun de resurse financiare, având ca scop obținerea plății răscumpărării. Sumele solicitate pentru decriptarea datelor sunt cerute în monedă crypto, iar dovada plății este solicitată prin diverse platforme de mesagerie.
Fiecărui păgubit îi este alocat un canal distinct în cadrul acestor aplicații, iar dialogul cu atacatorii se desfășoară exclusiv prin mesaje. În mesajul de răscumpărare, atacatorii subliniază necesitatea contactării urgente, amenințând cu ștergerea datelor criptate în caz contrar. Această tactică creează panică și urgență, pe care atacatorii o exploatează pentru a forța plățile.
Specialiștii din domeniul securității cibernetice menționează că atacatorii fac referire la articole din presa online care evidențiază amenzi mari în cadrul legislației GDPR, utilizând această informație pentru a exercita presiune psihologică asupra victimelor.
Atacurile sunt realizate prin campanii de tip spear phishing, în care atacatorii infectează inițial utilizatorii vizați prin atașarea unor fişiere dăunătoare de tip .pdf. Aceste fişiere conțin cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare, având ca scop furtul de informații și executarea de comenzi de la distanță printr-un server de comandă și control (C2).
Fișierul dăunător analizat dispune de capacități avansate de control de la distanță, fiind capabil să execute comenzi primite de la serverul C2 prin tehnici disimulate și invocare dinamică de cod JavaScript. Acesta combină funcționalități de exfiltrare de date, manipulare fișiere și detecție sistem, afectând astfel confidențialitatea, integritatea și disponibilitatea sistemelor atacate.
Un risc critic suplimentar este activarea BitLocker prin comenzi automate, care poate duce la criptarea integrală a datelor și blocarea accesului la informațiile compromise, într-un scenariu similar atacurilor de tip ransomware.
DNSC recomandă revizuirea imediată a politicilor de execuție a scripturilor și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.
