Directoratul Național de Securitate Cibernetică a detectat și gestionat în 2024 un număr de 101 de atacuri de tip ransomware, conform Raportului anual al instituției.

Printre cele mai relevante astfel de atacuri se numără cel care a vizat societatea Romanian Soft Company, dezvoltatorul platformei Hipocrate, care oferă servicii de fluxuri interne către unități spitalicești. În urma atacului, un număr de 26 de spitale au fost vizate în mod direct, fiind în imposibilitatea de a-și desfășura activitatea pentru aproximativ o săptămână.

'Prin activitatea sa, DNSC a analizat și investigat binarul malițios identificat în infrastructura companiei, ulterior a generat un set de reguli YARA și a emis recomandări ce au fost diseminate către toate spitalele cât și partenerilor europeni, membrii ai CSIRT Network, pentru a identifica posibila existență a programului malițios pe sistemele informatice utilizate', se menționează în raport.

Un alt atac semnificativ a fost cel care a vizat societățile din grupul Electrica SA, având un impact major asupra serviciilor publice oferite de către Electrica Furnizare SA și Distribuție Energie Electrică Romania SA, cu consecința afectării unui număr de peste 800 servere și 4.000 stații de lucru aflate la nivelul sucursalelor București, Ploiești, Brașov și Cluj. Atacul a fost notificat către DNSC la data de 9 decembrie 2024 și s-a procedat la colectarea de probe de la fața locului. Urmare a analizei efectuate a fost identificat criptorul folosit de către atacatori, s-a creat o regulă YARA care a fost publicată pe site-ul Directoratului. Totodată, au fost transmis un raport specific ce conținea indicatorii de compromitere, tehnicile și tacticile utilizate de către atacatori pentru compromiterea infrastructurii în vederea sanitizării complete a acesteia.

De asemenea, aproximativ 112 sisteme au fost afectate de atacul de tip ransomware care a vizat Primăria Municipiului Timișoara și instituții din subordinea acesteia, precum Direcția Fiscală a Municipiului Timișoara și Direcția Generală a Poliției Locale Timișoara. În urma activităților specifice derulate de către specialiștii Directoratului, s-a reușit recuperarea completă a datelor critice precum și o parte din datele neesențiale. De asemenea, au fost emise recomandări pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip.

Raportul DNSC menționează și atacul de tip ransomware direcționat asupra infrastructurii proiectului 'Sistemul Național de Management privind Dizabilitatea' având ca beneficiar Autoritatea Națională pentru Protecția Drepturilor Persoanelor cu Dizabilități (ANPDPD) și care cuprinde toate informațiile despre persoanele cu dizabilități și în care operează toate structurile specifice ale Direcția Generală de Asistență Socială și Protecția Copilului (DGASPC). Specialiștii Directoratului au identificat mai multe exfiltrări de conturi compromise (leaked), fiind făcute îndrumări privind măsurile necesar a fi urmate pentru securizarea infrastructurii în vederea evitării de alte atacuri de acest tip și transmis un raport detaliat cu privire la mecanismele producerii incidentului cibernetic pornind de la premisele analitice și datele informatice prelevate conform activităților specifice.

Important a fost și atacul care a vizat Primăria Sectorului 5 a Municipiului București, care a avut un impact major asupra serviciilor puse la dispoziție cetățenilor, fiind afectate serverele de tip Domain Controller, centrala telefonică a Poliției Locale și stații de lucru. Specialiștii Directoratului au identificat exfiltrări de conturi compromise (leaked făcute îndrumări privind masurile necesare a fi urmate pentru limitarea eventualelor prejudicii, suplimentar înaintării unui raport detaliat.

Alte atacuri de tip ransomware cu impact semnificativ au fost: cel care a vizat companiile SoftTehnica și FreyaPOS (prestatori de soluții software), fiind afectate mașini virtuale din producție precum și copiile de siguranță aferente, blocându-se astfel activitatea pentru aproximativ o săptămână; atacul care a vizat societatea Binbox Global Services, furnizoare de servicii de găzduire web, cloud computing și alte servicii conexe, fiind compromisă întreaga infrastructură; atacul de tip ransomware ce a vizat compania Dotro Telecom SRL, furnizoare de servicii de telefonie și internet, fiind afectată întreaga infrastructură și, implicit, nu mai puțin de 100 sisteme și peste 700 utilizatori; atacul ce a vizat societatea Agricola International S.A., entitate care desfășoară activități de producție, procesare și distribuție de alimente, fiind afectate peste 200 sisteme și 250 utilizatori, cu consecința blocării activității companiei pentru aproximativ 48 ore.

'În aceste situații, Directoratul a îndeplinit un rol crucial în asigurarea intervenției rapide, evaluarea impactului, limitarea prejudiciilor precum și remedierea, recuperarea datelor și restabilirea funcționalității infrastructurii IT&C la parametrii optimi. De remarcat este și faptul că în cursul anului anterior, în urma unei analize complexe asupra mediilor de stocare aparținând Primăriei Municipiului Bistrița, puse la dispoziție ca urmare a unui atac cibernetic, a fost identificată o nouă variantă de ransomware și a fost creat un program de decriptare a datelor în urma unui proces de reverse engineering pe binarul folosit de atacatori. De asemenea, au mai fost identificate cheile de decriptare și recuperarea datelor ca urmare a atacurilor ce au vizat Inspectoratul Teritorial pentru Calitatea Semințelor și Materialului Săditor Galați și alte 6 companii private', se subliniază în raport. AGEPRES/ (AS-redactor: Nicoleta Gherasi, editor: Andreea Marinescu, editor online: Anda Badea)