Treceți la conținutul principal

Important! Comunicat Directoratul Național de Securitate Cibernetică (DNSC) din data de 07.05.2025 cu privire la intensificarea atacurilor cibernetice de tip ransomware, prin utilizarea BitLocker

Comunicat Directoratul Național de Securitate Cibernetică (DNSC) din data de 07.05.2025 cu privire la intensificarea atacurilor cibernetice de tip ransomware, prin utilizarea BitLocker

Vă informăm că în ultima perioadă s-au intensificat atacurile cibernetice de tip ransomware, prin utilizarea BitLocker, prin intermediul serviciilor de e-mail, care vizează companiile din domeniul financiar-contabil.

DESCRIERE

Atacatorii vizează societăți comerciale din domeniul financiar-contabil, cu precădere, acele companii care au disponibilități materiale, în vederea efectuării plății răscumpărării. În vederea decriptării sunt solicitate diferite sume în monedă crypto. Dovada efectuării acestor plăți este solicitată prin intermediul diferitelor platforme de mesagerie. Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicații, iar dialogul cu atacatorii se realizează doar prin mesaje.

În cadrul mesajului de răscumpărare se menționează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind șterse. În acest fel se creează starea de panică/urgență, pe care mizează atacatorii, în vederea efectuării plății răscumpărării.

De asemenea, sunt menționate diferite articole din presa online în cadrul cărora se reliefează faptul că amenzile GDPR sunt foarte mari, prin urmare este folosit un alt instrument pentru a crea presiune psihologică asupra companiilor ce au căzut deja victime.

În cadrul campaniei de tip spear phishing identificate, atacatorii urmăresc infectarea inițială a utilizatorilor vizați, prin atașarea unor fișiere dăunătoare de tip .pdf.

Acest fișier .pdf conține de fapt un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul său principal este furtul de informații și executarea de comenzi de la distanță, folosind un server de comandă și control (C2).

DETALII TEHNICE

Inițializare și persistență

  • Adresă email periculoasă: se utilizează adrese de email ale unor experți contabili cunoscuți, de tip nume_prenume@domeniu.ro, adresa legitimă fiind de obicei nume-prenume@domeniu.ro.
  • Rulează folosind WScript[.]Shell, ADODB[.]Stream, MSXml2.DOMDocument, Scripting[.]FileSystem-Object.
  • Așteaptă 2 secunde (WScript.Sleep(2000)) și apoi rulează WScript[.]Shell[.]Run pentru a executa un fișier
  • Se conectează la URL-ul: hXXps://pdfhost.io/v/fodknUUL0_fisa_client_afimir_iunie_2022iulie_2023, unde se afișează un PDF folosit pe post de capcană.
  • Conectare la Serverul C2 și executarea de comenzi
  • Se conectează alternativ la două IP-uri C2: 89.35.131.71:80 și 179.43.157.31:80
  • Trimite și primește comenzi codificate prin cereri HTTP GET.
  • Decodifică și rulează comenzile primite folosind new Function(response)().
  • Comenzile primite de la C2 (server de comandă și control)
  • Fișierele command-XX.txt conțin diferite tipuri de operațiuni:
  • Extrage date din sistem (Win32_OperatingSystem, Win32_Processor, Win32_ComputerSystem-Product).
  • Obține UUID-ul și identifică sistemul (SELECT * FROM Win32_ComputerSystemProduct).
  • Exfiltare date utilizator (%COMPUTERNAME%, %USERNAME%, %USERDOMAIN%, %USERPROFILE%).
  • Citește și șterge fișiere (fs.DeleteFile, fs.DeleteFolder).
  • Caută fișiere pe Desktop (HKEY_USERS\S-1-5-19\ENVIRONMENT\TEMP).
  • Detectează adresa IP externă (http://ipinfo.io/json).
  • Listează unități și spațiu disponibil (fs.Drives).
  • Obține atributele fișierelor și le trimite la C2.
  • Poate executa orice comenzi, fără a se limita la cele enumerate mai sus. De exemplu, poate fi executat WinRAR pentru arhivarea datelor sau activarea BitLocker.

Exfiltrare date & evaziune

  • Codifică datele furate în Base64, folosind funcția encode.string().
  • Aplică înlocuiri pe caractere pentru a ascunde mesajele de exemplu (T → _, M → ., = → -).
  • Disimulare avansată → variabile și funcții generate aleatoriu, apelări recursive.

RECOMANDĂRI GENERALE

  1. Prevenție și protecție proactivă

  • Activați BitLocker la nivelul sistemului, pentru evitarea ulterioară a preluării controlului de către eventualii atacatori.
  • Blocați extensiile periculoase în soluția de e-mail (ex: .js, .vbs, .wsh, .scr, .hta).
  • Implementați o soluție de Content Disarm and Reconstruction (CDR) pentru atașamentele din email, în vederea sanitizării fișierelor.
  • Restricționați rularea WSH/ActiveX din politicile GPO (Group Policy).
  • Dezactivați wscript.exe, cscript.exe pentru utilizatorii fără drepturi administrative.
  • Blocați execuția fișierelor .js și .vbs prin folosirea AppLocker/WDAC.
  • Activați Microsoft Defender SmartScreen și protecția împotriva scripturilor nelegitime.
  • Folosiți DNS firewalling pentru a bloca automat domeniile/URL-urile rău intenționate.
  • Activați vizibilitatea extensiilor.

  1. Detectare și răspuns

Implementați o soluție de tip Endpoint Detection & Response (EDR), capabilă să detecteze procese neobișnuite și execuții de scripturi disimulate.

Monitorizați cu un sistem de tip Security Information and Event Management (SIEM) următorii indicatori:

  • Execuția wscript.exe, mshta.exe, powershell.exe cu parametri suspicioși.
  • Conexiuni de ieșire către IP-urile C2: 89.35.131.71, 179.43.157.31.
  • Activarea BitLocker fără privilegii administrative.
  • Detectați accesul la fișiere din %TEMP%, %USERPROFILE%, Desktop și tentative de ștergere automată.
  • Corelați acțiunile suspecte cu rularea funcției new Function() în JS sau scripturi recursive.

  1. Remediere și recuperare

  • Izolați imediat sistemele suspecte sau infectate de la rețea.
  • Investigați și exportați memoria RAM pentru analiză ulterioară, de tip forensic.
  • Restabiliți datele dintr-un backup offline – verificați integritatea acestora înainte de restaurare.
  • Resetați toate parolele afectate în cazul în care au fost detectate în scurgeri publice de credențiale.
  • Regenerați cheile de criptare BitLocker dacă sistemul a fost criptat.

  1. Măsuri complementare de siguranță

  • Implementați autentificare de tip multifactor (MFA) pentru toate conturile cu privilegii administrative.
  • Introduceți politici de tip Zero Trust și de segmentare a rețelei.
  • Instruiți periodic utilizatorii privind riscurile deschiderii fișierelor provenite din surse necunoscute.

CONCLUZII

Fișierul dăunător analizat prezintă capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate și invocare dinamică de cod JavaScript.

Combină funcționalități de exfiltrare de date, manipulare fișiere și detecție sistem, fiind capabil să afecteze confidențialitatea, integritatea și disponibilitatea sistemului afectat.

Un risc critic suplimentar este reprezentat de activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor și blocarea accesului la datele compromise, într-un scenariu similar atacurilor de tip ransomware.

Se recomandă revizuirea imediată a politicilor de execuție scripturi și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Sursa: Directoratul Național de Securitate Cibernetică

Fișierul se descarcă dând clic pe imaginea de mai jos sau aici:

Toate articolele de pe acest site se pot distribui cu mențiunea sursei, punând linkul articolului sau al site-ului.

Alte subiecte pe aceeași temă:
-

Postări populare de pe acest blog

Important! DUK Integrator ver. 1.4.18.3.3 cu Java 64-bit ver. 8.0.461 (încorporat) (29.11.2025)

DUK Integrator ver. 1.4.18.3.3 cu Java 64-bit ver. 8.0.461  (încorporat)  (29.11.2025) Atenție pentru cine utilizează sau dorește să utilizeze DUK Integrator ver. 1.4.17.3.3 cu Java 32-bit ver. 6.0.210 încorporat ca program de sine stătător, varianta oferită de Agenția Națională de Administrare Fiscală . Pentru că, după ultimele actualizări ale sistemelor de operare Windows 10 și 11,  DUK Integrator ver. 1.4.17.3.3 cu Java 32-bit ver.   6.0.210 oferit de  Agenția Națională de Administrare Fiscală  nu mai este compatibil cu Windows 10 ver. 22H2 și cu Windows 11 ver. 2xH2, se poate descărca de aici kitul DUK Integrator ver. 1.4.18.3.3 cu Java 64-bit ver. 8.0.461 sau dând clic pe imaginea de mai jos. Actualizare – 29.11.2025: - actualizare Java 64-bit la versiunea 8.0.461. Parola kitului este: 654321 și nu este executabil. După dezarhivare se execută  DUKIntegrator.bat. ...

Comunicatul Camera Consultanților Fiscali din data de 06.07.2026 cu privire la punctul de vedere al Ministerului Muncii privind aplicarea art. 3 alin. (3) din HG nr. 295/2025 în contextul reorganizării fiscale a sediilor secundare

Comunicatul Camera Consultanților Fiscali din data de 06.07.2026 cu privire la punctul de vedere al  Ministerului Muncii privind aplicarea art. 3 alin. (3) din HG nr. 295/2025 în contextul  reorganizării fiscale a sediilor secundare Foto: Gemini AI „ CCF solicită ca Ministerul Muncii să clarifice: Cum se realizează identificarea distinctă în Reges Online a fiecărui punct de lucru căruia angajatorul i-a delegat competența încadrării personalului, în situația în care respectivul punct de lucru nu mai deține un cod de identificare fiscală propriu?  Dacă există în Reges Online un alt identificator al punctului de lucru, diferit de codul de identificare fiscală, care permite individualizarea acestuia și exercitarea competențelor prevăzute de art. 3 alin. (3) din HG nr. 295/2025? În situația în care unui punct de lucru fără cod fiscal propriu i-a fost ...

Comunicatul Ministerului Finanțelor din data de 29.06.2026 cu privire la depunerea raportărilor contabile semestriale pentru anul 2026

Comunicatul Ministerului Finanțelor din data de 29.06.2026 cu privire la depunerea raportărilor contabile semestriale pentru anul 2026 « Firmele nu vor mai depune raportări contabile semestriale pentru anul 2026  Foto: Gemini AI Ministerul Finanțelor elimină, pentru anul 2026, obligația operatorilor economici de a întocmi și depune raportări contabile semestriale la 30 iunie. Decizia face parte dintr-o abordare orientată spre simplificare și reducerea sarcinilor administrative pentru mediul economic, fără a afecta obligațiile de raportare anuală prevăzute de lege. Măsura vizează operatorii economici aflați în aria de reglementare a Ministerului Finanțelor și reduce o obligație administrativă care, în ultimii ani, presupunea transmiterea unor raportări contabile suplimentare față de situațiile financiare anuale. „Firmele au nevoie de reguli clare și de mai puține obl...

Important! Comunicatul Inspectoratului Teritorial de Muncă Botoșani din data de 02.07.2026 cu privire la modificarea salariului de bază minim brut pe țară garantat în plată, începând cu data de 01 iulie 2026

Comunicatul Inspectoratului Teritorial de Muncă Botoșani din data de 02.07.2026 cu privire la modificarea salariului de bază minim brut pe țară garantat în plată, începând cu data de 01 iulie 2026 „ Comunicat de presă pentru angajatori cu privire la modificarea salariului de bază minim brut pe țară garantat în plată, începând cu data de 01 iulie 2026 ITM BOTOȘANI aduce la cunoștința angajatorilor din județul Botoșani modificările legislative intrate în vigoare prin H.G. nr. 146/2026 pentru stabilirea salariului de bază  minim brut pe țară garantat în plată. Începând cu data de 1 iulie 2026, salariul de bază minim brut pe țară garantat în plată, prevăzut la art. 164 alin. (1) din Legea nr. 53/2003 - Codul muncii, republicată, cu modificările și completările ulterioare, se stabilește în bani, fără a include sporuri și alte adaosuri, la suma de 4.325 lei lunar, pentru un program no...

O.M.F. nr. 808/25.06.2026 privind Registrul de evidență fiscală

O.M.F. nr. 808/25.06.2026 privind Registrul de evidență fiscală (M.O. nr. 556/07.07.2026) Toate articolele de pe acest site se pot distribui cu mențiunea sursei, punând linkul articolului sau al site-ului.