MOL Group Cards - adaptat nevoilor tale
DNSC atrage atenția asupra intensificării atacurilor cibernetice de tip ransomware, prin utilizarea BitLocker; sunt vizate companiile din domeniul financiar-contabil

DNSC atrage atenția asupra intensificării atacurilor cibernetice de tip ransomware, prin utilizarea BitLocker; sunt vizate companiile din domeniul financiar-contabil

Numărul 18, 14-20 mai 2025  »  Direct de la sursă

Directoratul Național de Securitate Cibrrnetică (DNSC) atrage atenția asupra faptului că, în ultima perioadă, s-au intensificat atacurile cibernetice de tip ransomware, prin utilizarea BitLocker, prin intermediul serviciilor de e-mail, care vizează companiile din domeniul financiar-contabil.

Potrivit unei alerte publicate pe site-ul instituției, atacatorii vizează societăți comerciale din domeniul financiar-contabil, cu precădere, acele companii care au disponibilități materiale, în vederea efectuării plății răscumpărării. În vederea decriptării sunt solicitate diferite sume în monedă crypto. Dovada efectuării acestor plăți este solicitată prin intermediul diferitelor platforme de mesagerie. Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicații, iar dialogul cu atacatorii se realizează doar prin mesaje.

În cadrul mesajului de răscumpărare se menționează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind șterse. „În acest fel, se creează starea de panică/urgență, pe care mizează atacatorii, în vederea efectuării plății răscumpărării”, precizează DNSC.

De asemenea, sunt menționate diferite articole din presa online în cadrul cărora se reliefează faptul că amenzile GDPR sunt foarte mari, prin urmare este folosit un alt instrument pentru a crea presiune psihologică asupra companiilor ce au căzut deja victime.

„În cadrul campaniei de tip spear phishing identificate, atacatorii urmăresc infectarea inițială a utilizatorilor vizați, prin atașarea unor fișiere dăunătoare de tip .pdf. Acest fișier .pdf conține de fapt un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul său principal este furtul de informații și executarea de comenzi de la distanță, folosind un server de comandă și control (C2)”, se menționează în documentul publicat de DNSC.

DNSC face cunoscute o serie de detalii tehnice legate de aceste atacuri:

● Inițializare și persistență

Adresă email periculoasă: se utilizează adrese de email ale unor experți contabili cunoscuți, de tip nume_prenume@domeniu.ro, adresa legitimă fiind de obicei nume-prenume@domeniu.ro.
Așteaptă 2 secunde și apoi rulează WScript[.]Shell[.]Run pentru a executa un fișier.
Se conectează la URL-ul: hXXps://pdfhost.io/v/fodknUUL0_fisa_client_afimir_iunie_2022iulie_2023, unde se afișează un PDF folosit pe post de capcană.
Conectare la Serverul C2 și executarea de comenzi
Se conectează alternativ la două IP-uri C2: 89.35.131.71:80 și 179.43.157.31:80
Trimite și primește comenzi codificate prin cereri HTTP GET.
Decodifică și rulează comenzile primite folosind new Function(response)().
Comenzile primite de la C2 (server de comandă și control)
Fișierele command-XX.txt conțin diferite tipuri de operațiuni:
Extrage date din sistem (Win32_OperatingSystem, Win32_Processor, Win32_ComputerSystem-Product).
Obține UUID-ul și identifică sistemul (SELECT * FROM Win32_ComputerSystemProduct).
Exfiltare date utilizator (%COMPUTERNAME%, %USERNAME%, %USERDOMAIN%, %USERPROFILE%).
Citește și șterge fișiere (fs.DeleteFile, fs.DeleteFolder).
Caută fișiere pe Desktop (HKEY_USERSS-1-5-19ENVIRONMENTTEMP).
Detectează adresa IP externă (http://ipinfo.io/json).
Listează unități și spațiu disponibil (fs.Drives).
Obține atributele fișierelor și le trimite la C2.
Poate executa orice comenzi, fără a se limita la cele enumerate mai sus. De exemplu, poate fi executat WinRAR pentru arhivarea datelor sau activarea BitLocker.

● Exfiltrare date & evaziune

Codifică datele furate folosind funcția encode.string().
Aplică înlocuiri pe caractere pentru a ascunde mesajele de exemplu (T → _, M → ., = → -).
Disimulare avansată → variabile și funcții generate aleatoriu, apelări recursive.

DNSC formulează, în acest context, și o serie de recomandări de ordin general:

● Prevenție și protecție proactivă

Activați BitLocker la nivelul sistemului, pentru evitarea ulterioară a preluării controlului de către eventualii atacatori.
Blocați extensiile periculoase în soluția de e-mail (ex: .js, .vbs, .wsh, .scr, .hta).
Implementați o soluție de Content Disarm and Reconstruction (CDR) pentru atașamentele din email, în vederea sanitizării fișierelor.
Restricționați rularea WSH/ActiveX din politicile GPO (Group Policy).
Dezactivați wscript.exe, cscript.exe pentru utilizatorii fără drepturi administrative.
Blocați execuția fișierelor .js și .vbs prin folosirea AppLocker/WDAC.
Activați Microsoft Defender SmartScreen și protecția împotriva scripturilor nelegitime.
Folosiți DNS firewalling pentru a bloca automat domeniile/URL-urile rău intenționate.
Activați vizibilitatea extensiilor.

● Detectare și răspuns

Implementați o soluție de tip Endpoint Detection & Response (EDR), capabilă să detecteze procese neobișnuite și execuții de scripturi disimulate.

Monitorizați cu un sistem de tip Security Information and Event Management (SIEM) următorii indicatori:

Execuția wscript.exe, mshta.exe, powershell.exe cu parametri suspicioși.
Conexiuni de ieșire către IP-urile C2: 89.35.131.71, 179.43.157.31.
Activarea BitLocker fără privilegii administrative.
Detectați accesul la fișiere din %TEMP%, %USERPROFILE%, Desktop și tentative de ștergere automată.
Corelați acțiunile suspecte cu rularea funcției new Function() în JS sau scripturi recursive.

● Remediere și recuperare

Izolați imediat sistemele suspecte sau infectate de la rețea.
Investigați și exportați memoria RAM pentru analiză ulterioară, de tip forensic.
Restabiliți datele dintr-un backup offline – verificați integritatea acestora înainte de restaurare.
Resetați toate parolele afectate în cazul în care au fost detectate în scurgeri publice de credențiale.
Regenerați cheile de criptare BitLocker dacă sistemul a fost criptat.

● Măsuri complementare de siguranță

Implementați autentificare de tip multifactor (MFA) pentru toate conturile cu privilegii administrative.
Introduceți politici de tip Zero Trust și de segmentare a rețelei.
Instruiți periodic utilizatorii privind riscurile deschiderii fișierelor provenite din surse necunoscute.

Concluzii:

Fișierul dăunător analizat prezintă capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate și invocare dinamică de cod JavaScript.

Combină funcționalități de exfiltrare de date, manipulare fișiere și detecție sistem, fiind capabil să afecteze confidențialitatea, integritatea și disponibilitatea sistemului afectat.

Un risc critic suplimentar este reprezentat de activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor și blocarea accesului la datele compromise, într-un scenariu similar atacurilor de tip ransomware.

Se recomandă revizuirea imediată a politicilor de execuție scripturi și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.

DNSC recomandă celor interesați să acceseze website-ul DNSC pentru a obține mai multe informații.

Articolul integral este disponibil pe site-ul DNSC.

(Copyright foto: 123RF Stock Photo)

« articolul anterior

ADR Sud-Vest Oltenia lansează un demers în vederea constituirii unui portofoliu de idei de proiecte potențial finanțabile prin platforma „Tehnologii strategice pentru Europa” (STEP) ADR Sud-Vest Oltenia lansează un demers în vederea constituirii unui portofoliu de idei de proiecte potențial finanțabile prin platforma „Tehnologii strategice pentru Europa” (STEP)

articol următor »

ANAF: Proiectul procedurii și condițiile de transmitere a informațiilor prevăzute la art. 46^2 alin. (22) din Codul fiscal, în consultare publică ANAF: Proiectul procedurii și condițiile de transmitere a informațiilor prevăzute la art. 46^2 alin. (22) din Codul fiscal, în consultare publică



Site-ul ceccarbusinessmagazine.ro folosește cookie-uri pentru analiza traficului și pentru îmbunătățirea experienței de navigare. Sunt incluse aici și cookie-urile companiilor/serviciilor terțe plasate pe acest site (Google Analytics, Facebook, Twitter, Disqus). Continuând să utilizezi acest website, ești de acord cu stocarea tuturor cookie-urilor pe acest device.
Sunt de acord
Mai multe detalii