Treceți la conținutul principal

Important! Comunicat Directoratul Național de Securitate Cibernetică (DNSC) din data de 07.05.2025 cu privire la intensificarea atacurilor cibernetice de tip ransomware, prin utilizarea BitLocker

Administrator Tipărire

Comunicat Directoratul Național de Securitate Cibernetică (DNSC) din data de 07.05.2025 cu privire la intensificarea atacurilor cibernetice de tip ransomware, prin utilizarea BitLocker

Vă informăm că în ultima perioadă s-au intensificat atacurile cibernetice de tip ransomware, prin utilizarea BitLocker, prin intermediul serviciilor de e-mail, care vizează companiile din domeniul financiar-contabil.

DESCRIERE

Atacatorii vizează societăți comerciale din domeniul financiar-contabil, cu precădere, acele companii care au disponibilități materiale, în vederea efectuării plății răscumpărării. În vederea decriptării sunt solicitate diferite sume în monedă crypto. Dovada efectuării acestor plăți este solicitată prin intermediul diferitelor platforme de mesagerie. Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicații, iar dialogul cu atacatorii se realizează doar prin mesaje.

În cadrul mesajului de răscumpărare se menționează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind șterse. În acest fel se creează starea de panică/urgență, pe care mizează atacatorii, în vederea efectuării plății răscumpărării.

De asemenea, sunt menționate diferite articole din presa online în cadrul cărora se reliefează faptul că amenzile GDPR sunt foarte mari, prin urmare este folosit un alt instrument pentru a crea presiune psihologică asupra companiilor ce au căzut deja victime.

În cadrul campaniei de tip spear phishing identificate, atacatorii urmăresc infectarea inițială a utilizatorilor vizați, prin atașarea unor fișiere dăunătoare de tip .pdf.

Acest fișier .pdf conține de fapt un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul său principal este furtul de informații și executarea de comenzi de la distanță, folosind un server de comandă și control (C2).

DETALII TEHNICE

Inițializare și persistență

  • Adresă email periculoasă: se utilizează adrese de email ale unor experți contabili cunoscuți, de tip nume_prenume@domeniu.ro, adresa legitimă fiind de obicei nume-prenume@domeniu.ro.
  • Rulează folosind WScript[.]Shell, ADODB[.]Stream, MSXml2.DOMDocument, Scripting[.]FileSystem-Object.
  • Așteaptă 2 secunde (WScript.Sleep(2000)) și apoi rulează WScript[.]Shell[.]Run pentru a executa un fișier
  • Se conectează la URL-ul: hXXps://pdfhost.io/v/fodknUUL0_fisa_client_afimir_iunie_2022iulie_2023, unde se afișează un PDF folosit pe post de capcană.
  • Conectare la Serverul C2 și executarea de comenzi
  • Se conectează alternativ la două IP-uri C2: 89.35.131.71:80 și 179.43.157.31:80
  • Trimite și primește comenzi codificate prin cereri HTTP GET.
  • Decodifică și rulează comenzile primite folosind new Function(response)().
  • Comenzile primite de la C2 (server de comandă și control)
  • Fișierele command-XX.txt conțin diferite tipuri de operațiuni:
  • Extrage date din sistem (Win32_OperatingSystem, Win32_Processor, Win32_ComputerSystem-Product).
  • Obține UUID-ul și identifică sistemul (SELECT * FROM Win32_ComputerSystemProduct).
  • Exfiltare date utilizator (%COMPUTERNAME%, %USERNAME%, %USERDOMAIN%, %USERPROFILE%).
  • Citește și șterge fișiere (fs.DeleteFile, fs.DeleteFolder).
  • Caută fișiere pe Desktop (HKEY_USERS\S-1-5-19\ENVIRONMENT\TEMP).
  • Detectează adresa IP externă (http://ipinfo.io/json).
  • Listează unități și spațiu disponibil (fs.Drives).
  • Obține atributele fișierelor și le trimite la C2.
  • Poate executa orice comenzi, fără a se limita la cele enumerate mai sus. De exemplu, poate fi executat WinRAR pentru arhivarea datelor sau activarea BitLocker.

Exfiltrare date & evaziune

  • Codifică datele furate în Base64, folosind funcția encode.string().
  • Aplică înlocuiri pe caractere pentru a ascunde mesajele de exemplu (T → _, M → ., = → -).
  • Disimulare avansată → variabile și funcții generate aleatoriu, apelări recursive.

RECOMANDĂRI GENERALE

  1. Prevenție și protecție proactivă

  • Activați BitLocker la nivelul sistemului, pentru evitarea ulterioară a preluării controlului de către eventualii atacatori.
  • Blocați extensiile periculoase în soluția de e-mail (ex: .js, .vbs, .wsh, .scr, .hta).
  • Implementați o soluție de Content Disarm and Reconstruction (CDR) pentru atașamentele din email, în vederea sanitizării fișierelor.
  • Restricționați rularea WSH/ActiveX din politicile GPO (Group Policy).
  • Dezactivați wscript.exe, cscript.exe pentru utilizatorii fără drepturi administrative.
  • Blocați execuția fișierelor .js și .vbs prin folosirea AppLocker/WDAC.
  • Activați Microsoft Defender SmartScreen și protecția împotriva scripturilor nelegitime.
  • Folosiți DNS firewalling pentru a bloca automat domeniile/URL-urile rău intenționate.
  • Activați vizibilitatea extensiilor.

  1. Detectare și răspuns

Implementați o soluție de tip Endpoint Detection & Response (EDR), capabilă să detecteze procese neobișnuite și execuții de scripturi disimulate.

Monitorizați cu un sistem de tip Security Information and Event Management (SIEM) următorii indicatori:

  • Execuția wscript.exe, mshta.exe, powershell.exe cu parametri suspicioși.
  • Conexiuni de ieșire către IP-urile C2: 89.35.131.71, 179.43.157.31.
  • Activarea BitLocker fără privilegii administrative.
  • Detectați accesul la fișiere din %TEMP%, %USERPROFILE%, Desktop și tentative de ștergere automată.
  • Corelați acțiunile suspecte cu rularea funcției new Function() în JS sau scripturi recursive.

  1. Remediere și recuperare

  • Izolați imediat sistemele suspecte sau infectate de la rețea.
  • Investigați și exportați memoria RAM pentru analiză ulterioară, de tip forensic.
  • Restabiliți datele dintr-un backup offline – verificați integritatea acestora înainte de restaurare.
  • Resetați toate parolele afectate în cazul în care au fost detectate în scurgeri publice de credențiale.
  • Regenerați cheile de criptare BitLocker dacă sistemul a fost criptat.

  1. Măsuri complementare de siguranță

  • Implementați autentificare de tip multifactor (MFA) pentru toate conturile cu privilegii administrative.
  • Introduceți politici de tip Zero Trust și de segmentare a rețelei.
  • Instruiți periodic utilizatorii privind riscurile deschiderii fișierelor provenite din surse necunoscute.

CONCLUZII

Fișierul dăunător analizat prezintă capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate și invocare dinamică de cod JavaScript.

Combină funcționalități de exfiltrare de date, manipulare fișiere și detecție sistem, fiind capabil să afecteze confidențialitatea, integritatea și disponibilitatea sistemului afectat.

Un risc critic suplimentar este reprezentat de activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor și blocarea accesului la datele compromise, într-un scenariu similar atacurilor de tip ransomware.

Se recomandă revizuirea imediată a politicilor de execuție scripturi și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Sursa: Directoratul Național de Securitate Cibernetică

Fișierul se descarcă dând clic pe imaginea de mai jos sau aici:

Toate articolele de pe acest site se pot distribui cu mențiunea sursei, punând linkul articolului sau al site-ului.

Alte subiecte pe aceeași temă:
-

Etichete:

Postări populare de pe acest blog

Important! Două videoclipuri prezentate de Inspecția Muncii în data de 22.12.2025 cu privire la corecțiile făcute în Reges Online

Administrator
Două videoclipuri prezentate de Inspecția Muncii în data de 22.12.2025 cu privire la corecțiile făcute în Reges Online 1. Î n urma unui control de la ITM trebuie să se facă corecții ? Cum și când se folosesc corecțiile în Reges Online. 2. După controlul ITM, se fac corecții în istoric? Cum se poate corecta informațiile în trecut pentru contracte care poate sunt încetate, suspendate. Sursa: Inspecția Muncii (Bogdan Nedelcu) Fișierul se descarcă dând clic pe imaginea de mai jos sau aici: Descărcare Toate articolele de pe acest site se pot distribui cu mențiunea sursei, punând linkul articolului sau al site-ului.
Citește mai mult »

Acte-anexe pentru Bilanțul la 31.12.2025 (microentități) (02.02.2026)

Administrator
Acte-anexe pentru Bilanțul la 31.12. 2025 (microentități) (02.02.2026) Pachetul „Acte-Anexe pentru Bilanţul la 31.12.2025 (microentităţi) (02.02.2026)” este în conformitate cu Legea contabilității nr. 82/1991 , republicată, cu modificările și completările ulterioare, O.M.F.P. nr. 1.802/2014 pentru aprobarea Reglementărilor contabile privind situațiile financiare anuale individuale și situațiile financiare anuale consolidate, cu modificările și completările ulterioare, și cu O.M.F. nr. 2.036/23.12.2025 privind principalele aspecte legate de întocmirea și depunerea situațiilor financiare anuale și a raportărilor contabile anuale ale operatorilor economici la Agenția Națională de Administrare Fiscală. Pachetul cuprinde: - Documentație acte-anexe pentru Bilanț (de citit).pdf; -   Anexe pentru Bilanţ microentităţi ver_ 1_10.xlsm; (Cuprinde: Declarație în conformitate cu prevederile art. 30 din Legea ...
3 comentarii
Citește mai mult »

Important! Legea nr. 53/2003 privind Codul muncii, actualizată la data de 21.12.2025

Administrator
Legea nr. 53/2003 privind Codul muncii, republicată în Monitorul Oficial al României, Partea I, nr. 345/18.05.2011  și cu toate modificările ulterioare. (varianta consolidată) Actualizare și revizuire - 21.12.2025: -  Legea nr. 239/15.12.2025/M.O. nr. 1160/15.12.2025 privind stabilirea unor măsuri de redresare și eficientizare a resurselor publice și pentru modificarea și completarea unor acte normative. Actualizare și revizuire - 19.10.2025: - Legea nr. 149/09.10.2025/M.O. nr. 936/09.10.2025 pentru completarea art. 118¹ din Legea nr. 53/2003 — Codul muncii. Actualizare și revizuire - 25.12.2024: -  Legea nr. 161/29.05.2024 pentru modificarea art. 128 alin. (2) din Legea nr. 53/2003 — Codul muncii; -  Legea nr. 283/13.11.2024 privind modificarea și completarea unor acte normative, pentru stabilirea salariilor minime adecvate. Actualizare și revizuire - 27.07.2023: - Lege...
Citește mai mult »

H.G. nr. 146/12.03.2026 pentru stabilirea salariului de bază minim brut pe țară garantat în plată

Administrator
H.G. nr. 146/12.03.2026 pentru stabilirea salariului de bază minim brut pe țară garantat în plată (M.O. nr. 196/13.03.2026) Fișierul se descarcă dând clic pe imaginea de mai jos sau aici: Descărcare Toate articolele de pe acest site se pot distribui cu mențiunea sursei, punând linkul articolului sau al site-ului.
Citește mai mult »

Important! DUK Integrator ver. 1.4.18.3.3 cu Java 64-bit ver. 8.0.461 (încorporat) (29.11.2025)

Administrator
DUK Integrator ver. 1.4.18.3.3 cu Java 64-bit ver. 8.0.461  (încorporat)  (29.11.2025) Atenție pentru cine utilizează sau dorește să utilizeze DUK Integrator ver. 1.4.17.3.3 cu Java 32-bit ver. 6.0.210 încorporat ca program de sine stătător, varianta oferită de Agenția Națională de Administrare Fiscală . Pentru că, după ultimele actualizări ale sistemelor de operare Windows 10 și 11,  DUK Integrator ver. 1.4.17.3.3 cu Java 32-bit ver.   6.0.210 oferit de  Agenția Națională de Administrare Fiscală  nu mai este compatibil cu Windows 10 ver. 22H2 și cu Windows 11 ver. 2xH2, se poate descărca de aici kitul DUK Integrator ver. 1.4.18.3.3 cu Java 64-bit ver. 8.0.461 sau dând clic pe imaginea de mai jos. Actualizare – 29.11.2025: - actualizare Java 64-bit la versiunea 8.0.461. Parola kitului este: 654321 și nu este executabil. După dezarhivare se execută  DUKIntegrator.bat. ...
Trimiteți un comentariu
Citește mai mult »