Peste 100 de incidente ransomware în România în 2024: Primării, spitale și firme afectate de cereri de răscumpărare pentru date criptate

Directoratul Național pentru Securitate Cibernetică (DNSC) a anunțat intervenția în 101 atacuri de tip ransomware anul trecut. Acest tip de malware blochează accesul la fișiere sau la întregul sistem până la plata unei răscumpărări. Un exemplu îl constituie Primăria Sectorului 5, cu o cerere de 5 milioane de dolari, și cel al celor 26 de spitale care foloseau sistemul IT Hipocrate, unde era solicitată o sumă de peste 150.000 de euro.

Fenomenul ransomware este considerat unul dintre cele mai persistente și severe, conform raportului DNSC din 2024 privind atacurile cibernetice.

Din totalul de 101 atacuri ransomware gestionate de DNSC anul trecut, majoritatea (68) au vizat firme, 20 au afectat instituții publice și 13 au vizat persoane fizice.

Atacuri ransomware notabile din 2024:

• Romanian Soft Company, dezvoltatorul platformei Hipocrate, a fost atacată, afectând 26 de spitale incapabile să funcționeze timp de aproximativ o săptămână. DNSC a analizat malware-ul, a generat reguli YARA și a emis recomandări pentru spitale și parteneri europeni din CSIRT Network pentru identificarea prezenței programului malițios.
• Grupul Electrica a fost supus unui atac major, afectând serverele și computerele din sucursalele din București, Ploiești, Brașov și Cluj. Incidentul a fost raportat la DNSC pe 9 decembrie 2024, iar după colectarea probelor, a fost identificat un criptor folosit de atacatori. DNSC a creat o regulă YARA, publicată pe site, și a emis un raport cu indicatori de compromitere pentru remedierea infrastructurii.
• Primăria Municipiului Timișoara, inclusiv Direcția Fiscală și Direcția Generală a Poliției Locale, a fost vizată, însă datele critice și unele neesențiale au fost recuperate integral. DNSC a emis recomandări pentru securizarea infrastructurii, prevenind viitoare atacuri similare.
• Proiectul „Sistemul Național de Management privind Dizabilitatea”, gestionat de ANPDPD, a fost atacat, afectând datele despre persoanele cu dizabilități. Specialiștii DNSC au detectat conturi compromise și au oferit îndrumări pentru securizarea sistemelor, evitând alte atacuri.
• Primăria Sectorului 5 a Municipiului București a suferit un atac care a afectat servere și infrastructura locală. DNSC a identificat conturi compromise și a oferit sfaturi pentru limitarea pagubelor.
• Firmele SoftTehnica și FreyaPOS, producători de soluții software, au avut activitatea blocată aproximativ o săptămână din cauza unui atac. S-a reușit recuperarea totală a datelor critice și a unor date neesențiale.
• Binbox Global Services, furnizor de servicii de hosting și cloud computing, a avut întreaga infrastructură compromisă. DNSC a facilitat recuperarea completă a datelor importante și a unora neesențiale.
• Dotro Telecom, furnizoare de telefonie și internet, a avut întreaga infrastructură afectată și un număr mare de utilizatori. Datele criptate au fost recuperate în proporție de peste 99%.
• Societatea Agricolă International, implicată în producția, procesarea și distribuția alimentelor, a avut activitatea temporar blocată. DNSC a identificat Indicatori de Compromitere și a emis un raport detaliat pentru prevenirea viitoarelor incidente.

DNSC a asigurat intervenții rapide pentru limitarea daunelor, restabilirea funcționalității sistemelor IT&C și recuperarea completă a datelor, conform standardelor de operare optime.

Atacuri ransomware în 2023

Pe parcursul anului 2023, DNSC a descoperit o nouă variantă de ransomware în timpul unei analize a mediilor de stocare ale Primăriei Municipiului Bistrița. S-a dezvoltat un program de decriptare și s-au obținut cheile necesare pentru recuperarea datelor. Alte atacuri au vizat Inspectoratul Teritorial pentru Calitatea Semințelor Galați și încă 6 companii private.