English
Directoratul Naţional de Securitate Cibernetică a detectat şi gestionat în 2024 un număr de 101 de atacuri de tip ransomware, conform Raportului anual al instituţiei, informează Agerpres.
Printre cele mai relevante astfel de atacuri se numără cel care a vizat societatea Romanian Soft Company, dezvoltatorul platformei Hipocrate, care oferă servicii de fluxuri interne către unităţi spitaliceşti. În urma atacului, un număr de 26 de spitale au fost vizate în mod direct, fiind în imposibilitatea de a-şi desfăşura activitatea pentru aproximativ o săptămână.
'Prin activitatea sa, DNSC a analizat şi investigat binarul maliţios identificat în infrastructura companiei, ulterior a generat un set de reguli YARA şi a emis recomandări ce au fost diseminate către toate spitalele cât şi partenerilor europeni, membrii ai CSIRT Network, pentru a identifica posibila existenţă a programului maliţios pe sistemele informatice utilizate', se menţionează în raport.
Un alt atac semnificativ a fost cel care a vizat societăţile din grupul Electrica SA, având un impact major asupra serviciilor publice oferite de către Electrica Furnizare SA şi Distribuţie Energie Electrică Romania SA, cu consecinţa afectării unui număr de peste 800 servere şi 4.000 staţii de lucru aflate la nivelul sucursalelor Bucureşti, Ploieşti, Braşov şi Cluj. Atacul a fost notificat către DNSC la data de 9 decembrie 2024 şi s-a procedat la colectarea de probe de la faţa locului. Urmare a analizei efectuate a fost identificat criptorul folosit de către atacatori, s-a creat o regulă YARA care a fost publicată pe site-ul Directoratului. Totodată, au fost transmis un raport specific ce conţinea indicatorii de compromitere, tehnicile şi tacticile utilizate de către atacatori pentru compromiterea infrastructurii în vederea sanitizării complete a acesteia.
De asemenea, aproximativ 112 sisteme au fost afectate de atacul de tip ransomware care a vizat Primăria Municipiului Timişoara şi instituţii din subordinea acesteia, precum Direcţia Fiscală a Municipiului Timişoara şi Direcţia Generală a Poliţiei Locale Timişoara. În urma activităţilor specifice derulate de către specialiştii Directoratului, s-a reuşit recuperarea completă a datelor critice precum şi o parte din datele neesenţiale. De asemenea, au fost emise recomandări pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip.
Raportul DNSC menţionează şi atacul de tip ransomware direcţionat asupra infrastructurii proiectului 'Sistemul Naţional de Management privind Dizabilitatea' având ca beneficiar Autoritatea Naţională pentru Protecţia Drepturilor Persoanelor cu Dizabilităţi (ANPDPD) şi care cuprinde toate informaţiile despre persoanele cu dizabilităţi şi în care operează toate structurile specifice ale Direcţia Generală de Asistenţă Socială şi Protecţia Copilului (DGASPC). Specialiştii Directoratului au identificat mai multe exfiltrări de conturi compromise (leaked), fiind făcute îndrumări privind măsurile necesar a fi urmate pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip şi transmis un raport detaliat cu privire la mecanismele producerii incidentului cibernetic pornind de la premisele analitice şi datele informatice prelevate conform activităţilor specifice.
Important a fost şi atacul care a vizat Primăria Sectorului 5 a Municipiului Bucureşti, care a avut un impact major asupra serviciilor puse la dispoziţie cetăţenilor, fiind afectate serverele de tip Domain Controller, centrala telefonică a Poliţiei Locale şi staţii de lucru. Specialiştii Directoratului au identificat exfiltrări de conturi compromise (leaked făcute îndrumări privind masurile necesare a fi urmate pentru limitarea eventualelor prejudicii, suplimentar înaintării unui raport detaliat.
Alte atacuri de tip ransomware cu impact semnificativ au fost: cel care a vizat companiile SoftTehnica şi FreyaPOS (prestatori de soluţii software), fiind afectate maşini virtuale din producţie precum şi copiile de siguranţă aferente, blocându-se astfel activitatea pentru aproximativ o săptămână; atacul care a vizat societatea Binbox Global Services, furnizoare de servicii de găzduire web, cloud computing şi alte servicii conexe, fiind compromisă întreaga infrastructură; atacul de tip ransomware ce a vizat compania Dotro Telecom SRL, furnizoare de servicii de telefonie şi internet, fiind afectată întreaga infrastructură şi, implicit, nu mai puţin de 100 sisteme şi peste 700 utilizatori; atacul ce a vizat societatea Agricola International S.A., entitate care desfăşoară activităţi de producţie, procesare şi distribuţie de alimente, fiind afectate peste 200 sisteme şi 250 utilizatori, cu consecinţa blocării activităţii companiei pentru aproximativ 48 ore.
'În aceste situaţii, Directoratul a îndeplinit un rol crucial în asigurarea intervenţiei rapide, evaluarea impactului, limitarea prejudiciilor precum şi remedierea, recuperarea datelor şi restabilirea funcţionalităţii infrastructurii IT&C la parametrii optimi. De remarcat este şi faptul că în cursul anului anterior, în urma unei analize complexe asupra mediilor de stocare aparţinând Primăriei Municipiului Bistriţa, puse la dispoziţie ca urmare a unui atac cibernetic, a fost identificată o nouă variantă de ransomware şi a fost creat un program de decriptare a datelor în urma unui proces de reverse engineering pe binarul folosit de atacatori. De asemenea, au mai fost identificate cheile de decriptare şi recuperarea datelor ca urmare a atacurilor ce au vizat Inspectoratul Teritorial pentru Calitatea Seminţelor şi Materialului Săditor Galaţi şi alte 6 companii private', se subliniază în raport.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
