Atenție din partea DNSC: Companii din sectorul financiar-contabil, ținte ale atacurilor cibernetice ransomware
Directoratul Naţional de Securitate Cibernetică (DNSC) avertizează că societăţi comerciale din domeniul financiar-contabil sunt vizate de atacuri cibernetice de tip ransomware. Potrivit DNSC, în ultima perioadă s-au intensificat aceste atacuri prin utilizarea BitLocker, realizate prin intermediul serviciilor de e-mail.
Atacatorii se concentrează pe companii care dispun de sume considerabile de bani, cu scopul de a obține plata răscumpărării. Pentru decriptarea datelor, sunt solicitate diverse sume în monedă crypto. Dovada plății este cerută prin diferite platforme de mesagerie, fiecare păgubit având un canal distinct de comunicare cu atacatorii, care se realizează exclusiv prin mesaje.
Mesajele de răscumpărare includ amenințări că, în cazul în care victimele nu iau legătura cu atacatorii în cel mai scurt timp, datele criptate vor fi șterse, creând o stare de panică și urgență. Specialiștii în securitate cibernetică subliniază că atacatorii folosesc și articole din presa online referitoare la amenzile mari pentru nerespectarea GDPR pentru a exercita presiune psihologică asupra victimelor.
În cadrul campaniilor de tip spear phishing, atacatorii infectează inițial utilizatorii vizați prin atașarea unor fişiere dăunătoare de tip .pdf. Aceste fişiere conțin un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul principal al acestor fişiere este furtul de informații și executarea de comenzi de la distanță, prin intermediul unui server de comandă și control (C2).
Fişierul dăunător analizat are capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2, utilizând tehnici disimulate și invocare dinamică de cod JavaScript. Acesta combină funcționalități de exfiltrare de date, manipulare fişiere și detecție sistem, afectând confidențialitatea, integritatea și disponibilitatea sistemelor afectate.
Un risc critic suplimentar este activarea BitLocker prin comenzi automate, ceea ce poate conduce la criptarea integrală a datelor și blocarea accesului la informațiile compromise, într-un scenariu similar atacurilor de tip ransomware. DNSC recomandă revizuirea imediată a politicilor de execuție a scripturilor și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.
