Business Hi-Tech

DNSC vine cu detalii despre atacul cibernetic de la Electrica: a căzut victimă unui ransomware sofisticat, identificat prima dată în iulie 2024 - Lynx. Grupul Lynx are la activ peste 20 de victime din SUA şi Marea Britanie. Hackerii tipăresc cererea de răscumpărare la imprimantele găsite la victime

DNSC vine cu detalii despre atacul cibernetic de la...

Autor: Adrian Seceleanu

11.12.2024, 16:15 780

Grupul Electrica a căzut victimă unui atac cibernetic cu un ransomware sofisticat, lansat de gruparea Lynx, a anunţat Directoratul Naţional de Securitate Cibernetică (DNSC), care a făcut apel la toate companiile din industria de energie să verifice dacă softul maliţios nu se află în sistemele lor.

„Directoratul Naţional de Securitate Cibernetică (DNSC) a fost notificat în dimineaţa zilei de luni, 9 decembrie 2024 referitor la un atac cibernetic desfăşurat asupra Grupului Electrica. În cel mai scurt timp, specialişti ai DNSC s-au deplasat la faţa locului pentru a oferi suport în remedierea problemei şi investigarea incidentului, unul de tip ransomware, alături de alte autorităţi cu atribuţii în domeniu.
Pe baza datelor disponibile, sistemele critice pentru alimentarea cu curent electric nu au fost afectate şi sunt funcţionale, iar investigaţia este momentan în derulare.
DNSC recomandă tuturor entităţilor, în special celor din domeniul energiei, indiferent dacă au fost sau nu afectate de atacul ransomware, susţinut de gruparea de criminalitate cibernetică LYNX Ransomware, să scaneze infrastructura proprie IT&C cu privire la binarul maliţios (criptorul) prin utilizarea scriptului de scanare YARA”, conform DNSC.

Ransomware este un tip de software maliţios care blochează accesul utilizatorului la fişierele sau sistemele sale, de obicei prin criptare, şi solicită plata unei sume de bani (răscumpărare) pentru a restabili accesul.

Conform datelor publice disponibile ransomware-ul Lynx a fost identificat pentru prima dată în iulie 2024, şi este considerat un rebranding al ransomware-ului INC, având o suprapunere semnificativă de cod cu acesta. Grupul responsabil pentru Lynx utilizează tactici de dublă extorcare, exfiltrând datele înainte de a le cripta, şi a revendicat peste 20 de victime în diverse sectoare, inclusiv retail, imobiliare, arhitectură şi servicii financiare, în special în Statele Unite şi Regatul Unit.

O caracteristică distinctivă a Lynx este capacitatea de a trimite notele de răscumpărare la tipărit către imprimantele conectate la sistemul compromis, adăugând astfel o componentă neaşteptată strategiei sale de atac.
Grupul Lynx susţine că evită ţintirea organizaţiilor guvernamentale, spitalelor şi organizaţiilor non-profit, concentrându-se în schimb pe companii mici şi mijlocii din diverse industrii.

Recomandările DNSC

„În eventualitatea unei infectări cu ransomware, Directoratul recomandă cu fermitate ca nimeni să nu plătească răscumpărarea cerută de către atacatori!
Folosirea indicatorilor de mai sus pentru scanarea infrastructurii IT&C de către toate entităţile din domeniul energiei, indiferent dacă au fost sau nu afectate de atacul LYNK Ransomware.
Pentru a limita extinderea incidentului vă recomandăm următoarele:
• Identificaţi ce sisteme sunt afectate şi izolaţi-le imediat de restul reţelei cât şi de la internet.
• Păstraţi o copie a mesajului de răscumpărare şi orice alte comunicări de la atacatori. Aceste informaţii sunt utile pentru autorităţi sau pentru analiza ulterioară a atacului.
• Păstraţi/colectaţi toate informaţiile de tip jurnal relevante, de pe echipamentele afectate, dar şi de la: echipamente de reţea, firewall etc.
• Examinaţi jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT&C.
• Informaţi imediat toţi angajaţii şi notificaţi clienţii şi partenerii de afaceri afectaţi cu privire la incident şi amploarea acestuia.
• Identificaţi eventuale instrumente/utilitare ce va pot ajuta in procesul de decriptare. Unele organizaţii, cum ar fi Europol cât şi alte companii de securitate cibernetică, oferă instrumente gratuite pentru decriptarea anumitor tipuri de ransomware:
- https://www.nomoreransom.org/en/index.html
- https://id-ransomware.malwarehunterteam.com/
- https://www.emsisoft.com/decrypter/
• Dacă deţineţi o copie de rezervă a datelor, restauraţi sistemele afectate din backup, după ce aţi efectuat o sanitizare completă a sistemelor. Asiguraţi-va că backup-urile sunt actualizate şi sigure împotriva atacurilor.
• Asiguraţi-vă că toate programele, aplicaţiile şi sistemele de operare sunt actualizate la ultimele versiuni şi de faptul că toate vulnerabilităţile cunoscute sunt corectate.”

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels