DNSC a identificat și a intervenit în 101 atacuri ransomware în anul precedent

DNSC a identificat și a intervenit în 101 atacuri ransomware în anul precedent

Directoratul Naţional de Securitate Cibernetică a detectat şi gestionat în 2024 un număr de 101 atacuri de tip ransomware, conform Raportului anual al instituţiei. Printre cele mai relevante atacuri se numără cel care a vizat societatea Romanian Soft Company, dezvoltatorul platformei Hipocrate, care oferă servicii de fluxuri interne către unităţi spitaliceşti. În urma acestui atac, 26 de spitale au fost afectate, fiind în imposibilitatea de a-şi desfăşura activitatea timp de aproximativ o săptămână.

DNSC a analizat şi investigat binarul maliţios identificat în infrastructura companiei, generând un set de reguli YARA şi emițând recomandări diseminate către toate spitalele și partenerii europeni, membri ai CSIRT Network, pentru a identifica posibila existenţă a programului maliţios pe sistemele informatice utilizate.

Un alt atac semnificativ a vizat societăţile din grupul Electrica SA, având un impact major asupra serviciilor publice oferite de Electrica Furnizare SA şi Distribuţie Energie Electrică Romania SA. Atacul a afectat peste 800 servere şi 4.000 staţii de lucru din sucursalele Bucureşti, Ploieşti, Braşov şi Cluj. Acesta a fost notificat către DNSC pe 9 decembrie 2024, iar specialiştii au colectat probe de la faţa locului. După analiză, a fost identificat criptorul folosit de atacatori, iar o regulă YARA a fost publicată pe site-ul Directoratului, împreună cu un raport specific ce conţinea indicatorii de compromitere, tehnicile şi tacticile utilizate.

În plus, aproximativ 112 sisteme au fost afectate de un atac ransomware asupra Primăriei Municipiului Timişoara şi instituţiilor subordonate, inclusiv Direcţia Fiscală a Municipiului Timişoara. Specialiştii DNSC au reuşit recuperarea completă a datelor critice și o parte din datele neesenţiale, emițând recomandări pentru securizarea infrastructurii.

Raportul DNSC menţionează și un atac ransomware asupra proiectului „Sistemul Naţional de Management privind Dizabilitatea”, care include informaţii despre persoanele cu dizabilităţi. Specialiştii au identificat exfiltrări de conturi compromise, oferind îndrumări pentru măsurile de securizare a infrastructurii.

De asemenea, un atac major a afectat Primăria Sectorului 5 din Bucureşti, având un impact semnificativ asupra serviciilor pentru cetăţeni, afectând serverele de tip Domain Controller și centrala telefonică a Poliţiei Locale. DNSC a identificat exfiltrări de conturi compromise și a oferit măsuri pentru limitarea prejudiciilor.

Alte atacuri semnificative au inclus cele care au vizat companiile SoftTehnica, FreyaPOS, Binbox Global Services, Dotro Telecom SRL și Agricola International S.A., fiecare având un impact considerabil asupra activităţii acestora. DNSC a intervenit rapid, evaluând impactul, limitând prejudiciile și asigurând recuperarea datelor.

În cursul anului anterior, o analiză a mediilor de stocare ale Primăriei Municipiului Bistriţa a dus la identificarea unei noi variante de ransomware, precum și la crearea unui program de decriptare a datelor prin reverse engineering pe binarul folosit de atacatori. De asemenea, au fost identificate cheile de decriptare și recuperarea datelor pentru alte entități afectate de atacuri.