Ransomware și Phishing: Armele preferate ale hackerilor în atacurile cibernetice

Diferențe și asemănări între ransomware și phishing

În era digitală, securitatea cibernetică este o preocupare majoră pentru utilizatori și companii. Două dintre cele mai comune dar și periculoase amenințări sunt ransomware-ul și phishing-ul. Deși ambele sunt utilizate de infractorii cibernetici pentru a obține acces la datele victimelor, ele operează în moduri diferite. În acest articol, vom analiza asemănările și diferențele dintre aceste două tipuri de atacuri.

1. Ce este ransomware?

Ransomware este un tip de malware care criptează fișierele de pe dispozitivul victimei și cere o răscumpărare (de obicei în criptomonede) pentru a le decripta. Aceste atacuri sunt extrem de distructive, deoarece pot bloca din funcționare organizații întregi, restricționând accesul la date critice.

Exemple de ransomware:

• WannaCry (2017) – Exploatarea unei vulnerabilități Windows, descoperită de Agenția Națională de Securitate a Statelor Unite (NSA) și dezvăluită public de grupul de hackeri Shadow Brokers, a dus la atacul ransomware WannaCry din 2017. Acest atac a afectat peste 200.000 de computere la nivel global și a provocat pagube de până la miliarde de dolari. Impactul său este resimțit și în prezent. Ancheta a identificat atacatorii ca fiind The Lazarus Group, un colectiv de hackeri nord-coreeni. Vulnerabilitatea a fost prezentă în versiunile mai vechi de Windows, iar Microsoft a lansat actualizări de securitate pentru a o remedia cu doar o lună înainte de atac. Sistemele care nu au fost actualizate au rămas vulnerabile, permițând atacatorilor să exploateze problema.
• Ryuk – Ryuk este un ransomware descoperit în august 2018. Inițial cunoscut doar ca un personaj fictiv japonez, acum este unul dintre cele mai periculoase ransomware-uri. Ryuk poate cripta resurse de rețea și șterge copiile de siguranță din Windows, făcând recuperarea imposibilă fără backup extern. Țintește organizații de profil înalt, obținând peste 61 de milioane de dolari între 2018 și 2019, cu victime precum EMCOR, spitalele UHS și ziare importante.
• Locky – Este unul dintre cele mai vechi și agresive tipuri de ransomware. A fost detectat în 2016 și criptează date cu RSA și AES, cerând răscumpărări mari. A avut mai multe variante, precum Zepto (.zepto), Odin (.odin) și Osiris (.osiris), provocând pierderi majore de date la nivel global.

În 2024, România a fost vizată de atacuri ransomware, afectând spitale, primării și infrastructuri critice, subliniind necesitatea unor măsuri mai stricte de securitate cibernetică. Printre incidentele notabile se numără:

• Februarie 2024: Un atac cibernetic masiv a vizat serverele de producție ale sistemului informatic HIS, afectând 18 spitale din țară. Printre unitățile medicale impactate se numără Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri București, Institutul Oncologic “Prof. Dr. Al. Trestioreanu” București și Institutul Clinic Fundeni. 

• August 2024: Primăria Municipiului Timișoara, Direcția Fiscală și Poliția Locală Timișoara au fost ținta unui atac ransomware, care a dus la blocarea mai multor sisteme informatice. Atacul a fost detectat la timp, iar specialiștii au intervenit pentru a preveni compromiterea întregului sistem. 

• Octombrie 2024: Sistemele informatice ale Primăriei Sectorului 5 din București au fost compromise într-un atac ransomware. Atacatorii au solicitat o răscumpărare de cinci milioane de dolari pentru deblocarea sistemelor. 

• Decembrie 2024: Grupul Electrica a raportat un atac cibernetic de tip ransomware asupra infrastructurii sale. Deși sistemele critice nu au fost afectate, compania a colaborat strâns cu autoritățile pentru a gestiona și remedia incidentul. 

Aceste incidente subliniază importanța măsurilor proactive de securitate cibernetică și a colaborării între instituții și autorități pentru a preveni și gestiona eficient astfel de atacuri.

2. Ce este phishing-ul?

Phishing-ul este o tehnică de inginerie socială prin care atacatorii încearcă să înșele utilizatorii pentru a divulga informații sensibile, cum ar fi parole, detalii bancare sau date de autentificare. Acest lucru se realizează prin e-mailuri, mesaje sau site-uri web false care imită entități de încredere.

Exemple de phishing:

• E-mailuri de la „bănci” – utilizatorii sunt îndrumați să introducă datele lor bancare pe un site fals.
• Mesaje de la „servicii populare” (ex. PayPal, Netflix) – anunțuri false despre conturi blocate pentru a determina utilizatorii să-și introducă datele.
• Atacuri prin rețele sociale – linkuri malițioase trimise prin Facebook, Instagram sau WhatsApp.

3. Asemănări între ransomware și phishing

• Scopul final este același: ambele metode sunt utilizate pentru a obține bani de la victime.
• Ambele tipuri de atac pot începe printr-un e-mail malițios: atacatorii pot folosi phishing-ul pentru a livra ransomware pe dispozitivul victimei.
• Se bazează pe înșelăciune: fie prin manipulare psihologică (phishing), fie prin constrângere financiară (ransomware), victimele sunt puse în situații de criză.
• Pot afecta atât persoane fizice, cât și companii: atacurile sunt îndreptate către utilizatorii individuali, dar și către organizații mari.

4. Diferențele dintre ransomware și phishing

5. Cum ne putem proteja?

Pentru a evita atacurile ransomware și phishing, este important să adoptăm măsuri de securitate eficiente:

✅ Măsuri de protecție împotriva atacurilor ransomware:

• Realizați o copie (back-up) frecvent al fișierelor importante.
• Nu descărcați atașamente suspecte din e-mailuri necunoscute.
• Utilizați un software antivirus actualizat.

✅ Măsuri de protecție împotriva phishing-ului:

• Verificați atent expeditorul e-mailurilor primite.
• Nu introduceți date sensibile pe site-uri nesigure (verificați dacă adresa începe cu „https”).
• Activați autentificarea în doi pași pentru toate conturile importante.

6. Ce faci dacă ai fost victima unui atac ransomware sau phishing?

Dacă ai fost victimă a unui atac ransomware sau phishing, este esențial să acționezi rapid pentru a limita pagubele. Iată pașii recomandați:

✅ În cazul unui atac ransomware:

• Deconectează dispozitivul de la rețea: Oprește conexiunile Wi-Fi și cablurile de rețea pentru a preveni răspândirea ransomware-ului.
• Nu plăti răscumpărarea: Chiar dacă pare o rezolvare rapidă, nu există garanții că vei primi cheia de decriptare.
• Identifică tipul de ransomware: Unele tipuri de ransomware pot avea soluții gratuite de decriptare (verifică pe No More Ransom).
• Raportează incidentul: Anunță autoritățile, cum ar fi DNSC.
• Restaurează datele: Dacă ai backup-uri, formatează sistemul și reinstalează datele.
• Scanează sistemul: Folosește un antivirus sau un tool de securitate pentru a elimina ransomware-ul.
• Îmbunătățește securitatea: Activează actualizările automate, utilizează soluții de backup și evită deschiderea atașamentelor suspecte.

✅ În cazul unui atac de phishing:

• Schimbă imediat parolele: Dacă ai introdus date într-un site fals, modifică parolele conturilor afectate.
• Activează autentificarea în doi pași (2FA): Îngreunează accesul atacatorilor la conturile tale.
• Scanează dispozitivul pentru malware: Folosește un antivirus actualizat pentru a verifica dacă sistemul a fost compromis.
• Raportează tentativa de phishing: Poți anunța furnizorul de e-mail sau autoritățile.
• Monitorizează-ți conturile: Verifică tranzacțiile bancare și activitatea suspectă.
• Evită viitoarele atacuri: Nu deschide link-uri sau atașamente suspecte și verifică adresa expeditorului.

Este important să fii mereu precaut și să ai backup-uri pentru a minimiza riscurile în cazul unui atac!

De reținut…

Deși ransomware-ul și phishing-ul sunt diferite în modul în care operează, ele au un obiectiv comun: să exploateze victimele pentru câștiguri financiare. Fiind conștienți de aceste amenințări și adoptând măsuri de securitate adecvate, putem reduce semnificativ riscul de a deveni victime ale atacurilor cibernetice.

🔒 Prevenția este și va rămâne cea mai bună apărare! 🔒