În contextul apariției unor mesaje de răscumpărare din partea presupușilor atacatori ai sistemului informatic Hipocrate, Directoratul Naţional de Securitate Cibernetică (DNSC) vine cu o recomandare foarte clară, atrăgând atenția ca nimeni să nu plătească răscumpărarea, deoarece plata nu garantează că datele vor fi recuperate. În plus, astfel de gesturi nu fac altceva decât să încurajeze infractorii cibernetici pentru a porni și alte atacuri similare.
Experții recomandă implementarea următoarelor unor măsuri de securitate cibernetică cu caracter specific:
- limitarea utilizării serviciului RDP pe staţiile şi serverele din reţea şi adoptarea de măsuri suplimentare de securizare a acestui tip de serviciu,
- utilizarea unor parole complexe şi schimbarea periodică a acestora,
- realizarea unor copii de siguranţă a datelor critice şi stocarea acestora fie offline, fie pe un segment diferit al reţelei,
- izolarea şi păstrarea datelor criptate în eventualitatea în care ar putea apărea o aplicaţie de decriptare în mediul online.
Totodată, specialiștii atrag atenția că se impune sporirea vigilenței în utilizarea zonei de internet, fiind vorba despre instituții care utilizează multe date importante.
„Trebuie manifestată atenţie la verificarea e-mail-urilor primite, în special a celor care conţin ataşamente sau linkuri suspecte! Scanarea cu o soluţie de securitate instalată pe dispozitiv, sau cu una disponibilă gratis online, pentru linkurile sau ataşamentele suspecte din căsuţa dvs. de mail. Nu uitaţi să aplicaţi la timp update-urile pentru aceste soluţii de securitate! E-mail-urile suspecte trebuie raportate departamentului IT pentru izolare şi investigare. Verificaţi periodic regulile contului de e-mail, ce pot fi setate pentru redirecţionarea automată a tuturor mesajelor, ceea ce ar putea duce la o scurgere de date, dacă există o infecţie”, explică experții.
Alte măsuri ce trebuie avute în vedere sunt:
- actualizarea de urgenţă a sistemelor de operare, programelor antivirus, browserelor web, clienţilor de e-mail şi a programelor de tip Office;
- instalarea unei soluţii de control al aplicaţiilor (administratorii de sistem pot lua în considerare instalarea unui astfel de software care oferă listă albă de aplicaţii şi/sau directoare);
- crearea unor puncte de restaurare a sistemului şi realizarea de back-up pentru fişiere;
- realizarea periodică de sesiuni de training cu personalul.
Date importante despre aplicația ransomware Backmydata
Reprezentanții DNSC menționează că malware-ul utilizat în cadrul atacului este aplicația ransomware Backmydata care face parte din familia de malware Phobos, cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol (RDP).
Backmydata este conceput pentru a cripta fișierele țintei vizate utilizând un algoritm complex. Fișierele criptate sunt redenumite cu extensia .backmydata. După criptare, malware-ul furnizează două note de răscumpărare (info.hta și info.txt) cu detalii despre pașii ce trebuie urmați pentru contactarea atacatorilor și stabilirea detaliilor pentru plata răscumpărării.
Familia de ransomware Phobos a evoluat din ransomware-ul Dharma/Crysis și de când a fost observat prima dată, în 2019, a suferit modificări minime în ciuda popularității sale în rândul grupurilor de atacatori cibernetici.
Phobos este un Ransomware-as-a-Service (RaaS), unde dezvoltatorii și afiliații nu sunt strâns legați, dar colaborează pentru a distribui malware-ul pe scară largă, vizând diverse organizații și indivizi. Phobos este remarcat pentru tehnicile sale de evaziune și utilizarea de mecanisme simple dar eficace pentru atingerea obiectivelor operaționale. Structura sa descentralizată complică eforturile de a contracara operațiunile sale și de a identifica atacatorii.
Variantele comune de Phobos (precum Eking, Eight, Elbie, Devos și Faust) demonstrează adaptabilitatea și diversitatea acestei familii de ransomware. Afiliații folosesc Tactici, Tehnici și Proceduri (TTPs) similare pentru a implementa Phobos, ce vizează în mod obișnuit infectarea serverelor cu rol important în infrastructurile țintă pentru a exercita presiune asupra victimelor să plătească răscumpărarea.
În Romania, sectorul sănătății a mai fost vizat în 2019 și 2021 de atacuri cibernetice complexe motivate financiar, care au implicat utilizarea malware-ului Phobos.
Phobos criptează datele folosind algoritmul AES 256 pentru fișiere cu multiple extensii și transmite o notă de răscumpărare de forma următoare:
Specialiștii DNSC subliniază faptul că nu există până acum niciun indiciu referitor la exfiltrarea (extragerea, descărcarea) datelor de către atacatori în acest caz.
În variantele populare, Phobos își oprește execuția și se auto-elimină de pe dispozitivele de stocare dacă identifică utilizarea de caractere chirilice la nivelul sistemului de operare, aspect comun dezvoltatorilor de malware vorbitori de limbă rusă.
Atacatorii utilizează platforma getsession în comunicarea cu victimele. Aplicația folosește criptarea end-to-end și arhitectură descentralizată pentru a garanta confidențialitatea și a reduce riscul interceptării mesajelor.
Autor: Sofia Filip
Foto: Arhiva Ordinea Zilei/ DNSC
