Agenția Națională de Securitate Cibernetică (ANSC) semnalează o nouă serie de atacuri informatice de tip ransomware, vizând în special companiile mici și mijlocii din domeniul financiar-contabil. Atacurile se desfășoară prin campanii bine orchestrate de phishing specific (spear-phishing), folosind mesaje email aparent legitime și fișiere .pdf infectate, în spatele cărora se ascund coduri malware capabile să cripteze complet sistemele și să solicite plăți în criptomonede.

Această amenințare este și mai periculoasă prin folosirea abuzivă a funcției BitLocker, un instrument legitim al sistemului Windows, exploatat pentru a bloca complet accesul la datele compromise. După succesul atacului, victimele sunt contactate prin mesagerie online, unde li se cere plata unei sume în monedă digitală, în schimbul unei chei de decriptare.

Cum funcționează atacul și ce urmăresc atacatorii

Atacatorii exploatează un vector de infecție subtil: un fișier PDF aparent inofensiv, atașat la email-uri direcționate către companiile vizate. Acest document conține un cod JavaScript ascuns, care rulează prin intermediul Windows Script Host (WSH) și folosește obiecte ActiveX pentru a prelua controlul asupra computerului victimei, transmite date către servere externe și executa comenzi la distanță.

Un element cheie al atacului este activarea automată a BitLocker – o metodă obișnuită de criptare a datelor din Windows. Atacurile o folosesc pentru a bloca accesul la date, ca într-un scenariu clasic de ransomware.

După criptarea datelor, atacatorii stabilesc un canal de comunicare cu victima, prin aplicații de mesagerie, solicitând sume consistente în criptomonede pentru recuperarea datelor. Aceștia utilizează presiunea psihologică și amenințările legate de ștergerea datelor sau de potențiale sancțiuni legale, în special în cazul gestionării de informații personale sensibile.

Măsuri de prevenire

ANSC recomandă o revizuire urgentă a politicilor de execuție a scripturilor, în special pentru scripturi care permit rularea automată de coduri prin WSH și ActiveXObject. Aceste tehnologii sunt învechite, dar încă prezente în multe rețele interne.

Alte măsuri importante includ:

• Evitați deschiderea fișierelor atașate necunoscute, chiar dacă acestea par legitime;
• Utilizați soluții antivirus avansate și sisteme de detectare a comportamentelor suspecte în rețea;
• Efectuați backup-uri frecvente și izolate de rețeaua principală pentru o recuperare rapidă în caz de atac;
• Formați angajații despre riscurile de phishing și spear-phishing;
• Limitați drepturile de administrator pe computere, pentru a preveni accesul neautorizat la funcții sensibile.

Atacurile recente arată că companiile mici din domeniul financiar-contabil sunt ținte ideale, deoarece gestionează cantități mari de date sensibile și au adesea sisteme de securitate mai puțin robuste. Prin urmare, este esențial ca toate companiile, indiferent de dimensiune, să ia în serios riscurile cibernetice și să-și actualizeze securitatea digitală.