ATACURI. Directoratul Național de Securitate Cibernetică (DNSC) a emis miercuri un avertisment privind creșterea numărului de atacuri cibernetice de tip ransomware, care vizează în special companiile din domeniul financiar-contabil. Aceste atacuri se desfășoară prin e-mailuri infectate și utilizează instrumentul de criptare BitLocker. Atacatorii cer sume consistente în criptomonede pentru a debloca datele criptate.
Țintele preferate sunt firmele cu resurse financiare, considerate capabile să plătească rapid răscumpărarea. Comunicarea cu hackerii se face prin platforme de mesagerie criptată, fiecare victimă primind un canal separat de dialog. Mesajele de șantaj creează o stare de urgență și includ amenințări cu ștergerea definitivă a datelor, dacă nu se răspunde prompt. De asemenea, sunt menționate articole despre amenzile GDPR, pentru a amplifica presiunea psihologică asupra companiilor afectate.
Campania identificată de tip spear phishing constă în transmiterea de fișiere PDF aparent inofensive, dar care conțin cod JavaScript ascuns. Acestea rulează prin Windows Script Host (WSH) și folosesc ActiveXObject pentru a interacționa cu sistemul de operare. Scopul final este furtul de informații sensibile și executarea de comenzi la distanță printr-un server de comandă și control (C2).
Potrivit specialiștilor, aceste fișiere dăunătoare au capacități avansate de control de la distanță, fiind capabile să îndeplinească aproape orice comandă emisă de serverul C2, folosind tehnici sofisticate de invocare dinamică a codului. Se combină funcții de exfiltrare de date, modificare de fișiere și detecție de sistem, compromițând confidențialitatea, integritatea și disponibilitatea sistemelor afectate. În scenariul cel mai grav, BitLocker este activat automat, criptând toate datele și blocând accesul complet.
În acest context, DNSC recomandă revizuirea imediată a politicilor privind execuția scripturilor și evaluarea nivelului de expunere a sistemelor la atacuri prin ActiveXObject și WSH.
