Atenție! Companii din sectorul financiar-contabil, ținte ale atacurilor cibernetice de tip ransomware
Directoratul Naţional de Securitate Cibernetică (DNSC) avertizează că societăţile comerciale din domeniul financiar-contabil sunt vizate de atacuri cibernetice de tip ransomware. În ultima perioadă, aceste atacuri s-au intensificat, utilizând BitLocker și fiind desfășurate prin intermediul serviciilor de e-mail.
Atacatorii vizează companiile din domeniul financiar-contabil, în special pe cele care dispun de resurse financiare, pentru a solicita plăți de răscumpărare. Sumele cerute pentru decriptare sunt solicitate în monedă crypto. Dovada plății este solicitată prin diverse platforme de mesagerie.
Fiecărui caz îi este atribuit un canal distinct în cadrul acestor aplicații, iar comunicarea cu atacatorii se realizează exclusiv prin mesaje. În mesajele de răscumpărare, atacatorii subliniază necesitatea de a lua legătura cât mai urgent, avertizând că, în caz contrar, datele criptate vor fi șterse, generând panică și urgență.
Specialiștii în securitate cibernetică menționează că atacatorii folosesc articole din presa online pentru a evidenția amenzile mari impuse de GDPR, creând presiune psihologică asupra companiilor afectate.
În cadrul campaniilor de tip spear phishing, atacatorii infectează inițial utilizatorii prin atașarea unor fișiere dăunătoare de tip .pdf. Aceste fișiere conțin de fapt un cod JavaScript ascuns, care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul principal este furtul de informații și executarea de comenzi de la distanță, prin intermediul unui server de comandă și control (C2).
Fișierul dăunător analizat prezintă capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate. Acesta combină funcționalități de exfiltrare de date, manipulare a fișierelor și detecție sistem, afectând confidențialitatea, integritatea și disponibilitatea sistemului afectat.
Un risc critic suplimentar este activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor și la blocarea accesului la informațiile compromise, într-un scenariu similar atacurilor de tip ransomware.
DNSC recomandă revizuirea imediată a politicilor de execuție a scripturilor și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.
