Alertă CERT-RO. 50.000 de conturi din România au ajuns pe Dark Web

Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) atenționează că aproximativ 50.000 de conturi din România au fost compromise și identificate într-o bază de date publicată pe Dark Web (Internetul ascuns).

Potrivit CERT-RO, cele aproximativ 50.000 de conturi din România au fost identificate dintr-o listă cifrată la 11 milioane.

Victime din domeniul instituțional și privat

„Dintre acestea, regăsim peste 2.000 de domenii.ro. Lista conturilor personale și profesionale ale victimelor aparțin, atât domeniului instituțional, cât și celui privat”, se arată într-un comunicat publicat pe cert.ro.

Principalele domenii afectate provin din zona conturilor de e-mail, servere și pagini web, platforme de vânzări online, platforme de social media, organisme guvernemanetale, instituții publice, domeniul energetic și cel financiar-bancar.

Alexandru Ciprian Angheluș (ProDefence), Oana Buzianu (Wintech) și Mircea Scheau (Universitatea din Craiova) au publicat recent, cu sprijinul ISACA România și CERT-RO, un studiu referitor la acest caz. Studiul are ca subiect utilizarea profilelor (profiling) de către atacatori, pentru a lansa atacuri precise, de succes, împotriva „factorului uman” din interiorul unei organizații.

„Recomandarea noastră este ca utilizatorii notificați să își schimbe parolele folosite pe platformele instituțiilor publice, social media, email, servere și orice alte servicii unde se autentifică cu ajutorul acelor date compromise. Acolo unde este posibil, activați autentificarea în 2 pași (2FA), pentru a evita pierderea aceesului la cont, în cazul în care parola a fost deja compromisă”, informează CERT-RO.

Specialiștii Centrului Național Cyberint au transmis recent o notificare despre derularea unei campanii de tip ransomware (denumită „Black Kingdom") utilizată pentru exploatarea vulnerabilităților ProxyLogon ale MS Exchange, în scopul criptării serverelor.

Cum funcționează atacul și ce puteți face pentru a vă proteja?

Atacatorul utilizează aceste vulnerabilități pentru a putea rula un script PowerShell care descarcă executabilul ransomware de la domeniul "yuuuuu44[.]com", distribuindu-l apoi către alte stații din rețea. Ca mod de operare, produsul ransomware criptează fișierele de pe stația infectată folosind extensii aleatoare și crează un fișier text de răscumpărare (denumit decrypt_file.TxT sau ReadMe.txt).

Pentru prevenirea infectării cu acest ransomware, vă recomandăm să aplicați urgent ultimele actualizări disponibile în cazul serverelor vulnerabile, dacă nu ați facut-o deja.