Știri
Știri din categoria Securitate cibernetică
Atacurile ransomware au crescut cu 50% într-un an, iar companiile sunt împinse spre apărare proactivă și „threat intelligence” (informații despre amenințări), pe fondul accesibilizării acestui tip de malware și al sofisticării metodelor de atac, potrivit Agerpres, care citează o analiză semnată de Roman Cuprik, specialist în securitate cibernetică la Eset.
În evaluarea Eset, atacatorii migrează tot mai mult către modelul „ransomware-as-a-service” (ransomware oferit ca serviciu, contra cost) și către atacuri oportuniste, ceea ce crește presiunea asupra echipelor IT să urmărească permanent tacticile și grupările active. Compania spune că își propune să sprijine organizațiile prin rapoarte eCrime, care combină analize cu un flux continuu de date despre amenințări.
Eset afirmă că, în urma analizării scurgerilor de date (DLS) de pe site-uri globale, a rezultat o creștere de 50% de la an la an a atacurilor ransomware.
În paralel, raportul Verizon 2025 (Data Breach Investigations Report) a observat o creștere anuală a incidenței atacurilor ransomware de peste o treime, de la 32% la 44%. Același raport indică o scădere a valorii mediane a răscumpărării de la 150.000 de dolari în 2024 (aprox. 690.000 lei) la 115.000 de dolari în 2025 (aprox. 529.000 lei). Potrivit expertului citat, una dintre explicațiile posibile este orientarea către companiile mici și mijlocii: 88% dintre IMM-urile care au suferit o breșă de securitate au descoperit ransomware în sistemele lor.
Analiza mai arată că 54% dintre victime au avut domeniile menționate în cel puțin un jurnal de „infostealer” (malware care fură date) sau pe piețele ilegale de date, conform datelor de pe site-urile de extorcare.
Cuprik atrage atenția că grupările dezvoltă instrumente precum „EDR killers” (unelte care încearcă să dezactiveze soluțiile de detecție și răspuns la nivel de dispozitiv), exploatând drivere vulnerabile, și adoptă tehnici de inginerie socială precum ClickFix, care folosește mesaje de eroare false pentru a convinge utilizatorii să execute comenzi malițioase.
„Companiile nu se mai pot baza exclusiv pe instrumente de securitate cibernetică pasive, cum ar fi produsele simple de protecție la nivel de endpoint.”
În descrierea mecanismului de atac, infractorii cibernetici ar începe cu recunoașterea organizației, apoi instalează malware pentru compromiterea mediului informatic, iar criptarea datelor și cererea de răscumpărare pot apărea mai târziu, după săptămâni, pentru a evita detecția.
Eset menționează că serviciul său de „threat intelligence” este susținut de cercetători și ingineri de detecție care colaborează cu instituții precum FBI, CISA (Joint Cyber Defense Collaborative), Centrul de Excelență NATO pentru Apărare Cibernetică Cooperativă și Europol.
Recomandate
O setare de notificări din Signal poate lăsa urme accesibile anchetatorilor chiar și după ștergerea aplicației , iar utilizatorii de iPhone care mizează pe confidențialitate sunt îndemnați să o modifice, potrivit techradar.com . Miza practică: criptarea „cap la cap” (end-to-end) protejează conținutul în tranzit, dar nu garantează că fragmente ale mesajelor nu ajung în alte zone ale sistemului, precum notificările. FBI a reușit să recupereze mesaje Signal primite de pe un iPhone, deși aplicația fusese ștearsă. Conform articolului, accesul nu s-a făcut prin compromiterea contului Signal, ci prin baza de date a notificărilor „push” a iPhone-ului, care a continuat să primească mesaje de intrare. Publicația notează că autoritățile nu au putut accesa mesajele trimise de inculpat, dar au putut vedea cealaltă parte a conversațiilor (mesajele primite). Ce setare recomandă Signal și care e compromisul Soluția indicată este o opțiune din Signal care împiedică afișarea conținutului în notificări. Pașii menționați în articol: Signal → Settings → Notifications → Notification Content alegi: „No Name or Content” (confidențialitate maximă), sau „No Content” (dacă accepți ca numele expeditorului să poată fi vizibil) Costul operațional este evident: notificările Signal nu vor mai arăta conținutul mesajelor și, în funcție de opțiune, nici numele expeditorului, ceea ce poate fi incomod în utilizarea de zi cu zi. De ce contează și dincolo de Signal Articolul avertizează că problema „probabil” nu este exclusivă Signal, ceea ce sugerează un risc mai larg legat de modul în care iOS gestionează notificările pentru aplicații de mesagerie. Consecința pentru utilizatori și organizații care folosesc mesageria în contexte sensibile este că setările de notificări devin parte din „suprafața de expunere” și ar trebui revizuite, nu tratate ca un detaliu cosmetic. Context: acuzații privind WhatsApp, negate de companie În același material este menționată și o dispută separată: fondatorul Telegram, Pavel Durov, a susținut pe X că „criptarea” WhatsApp ar fi „cea mai mare fraudă pentru consumatori din istorie”, invocând un proces care ar acuza existența unei „uși din spate” ce ar permite ocolirea criptării. WhatsApp respinge acuzația, numind-o „categoric falsă și absurdă”, iar concluzia rămâne incertă pe baza informațiilor prezentate. [...]
Aproape 4.000 de controlere industriale din SUA sunt expuse pe internet , ceea ce lărgește semnificativ suprafața de atac pentru campanii atribuite unor grupuri de hackeri legați de Iran, cu efecte deja raportate în zona de infrastructură critică. Datele apar într-o analiză BleepingComputer , care leagă expunerea masivă de atacuri în desfășurare asupra echipamentelor Rockwell Automation/Allen-Bradley. Atacurile vizează controlere logice programabile (PLC – echipamente folosite pentru automatizarea proceselor industriale) și, potrivit unui avertisment comun emis marți de mai multe agenții federale americane, grupuri susținute de statul iranian ar fi țintit aceste dispozitive începând din martie 2026. Avertismentul indică „perturbări operaționale și pierderi financiare” în urma incidentelor. În același context, agențiile avertizează că intensificarea campaniilor APT (atacatori avansați, de regulă cu resurse și obiective strategice) ar putea fi legată de escaladarea ostilităților dintre Iran și Statele Unite și Israel. De ce contează: expunerea pe internet este concentrată în SUA Firma de securitate Censys a raportat că, din peste 5.200 de sisteme de control industrial identificate ca fiind expuse online la nivel global și care răspund la EtherNet/IP (EIP) și se identifică drept dispozitive Rockwell Automation/Allen-Bradley, 74,6% sunt în Statele Unite – adică 3.891 de gazde . Censys mai indică faptul că o parte disproporționată a expunerii din SUA apare în rețele ale operatorilor celulari (ASNs), ceea ce sugerează dispozitive instalate „în teren” și conectate prin modemuri celulare – un scenariu care poate complica inventarierea și controlul accesului în mediile operaționale (OT). Ce au observat autoritățile în atacuri Potrivit FBI, activitatea investigată a inclus: extragerea fișierului de proiect al dispozitivului; manipularea datelor afișate în interfețele HMI și SCADA (panouri și sisteme de supraveghere/control industrial). Recomandări operaționale pentru reducerea riscului Pentru apărare, recomandările menționate includ măsuri de bază, dar cu impact direct în OT: protejarea PLC-urilor cu firewall sau deconectarea lor de la internet; verificarea jurnalelor pentru indicii de activitate malițioasă; monitorizarea traficului suspect pe porturi OT, mai ales când provine de la furnizori de găzduire din afara țării; impunerea autentificării multifactor (MFA) pentru accesul la rețele OT; actualizarea echipamentelor și dezactivarea serviciilor/metodelor de autentificare nefolosite. Context: un tipar recurent al campaniilor atribuite Iranului Campania actuală urmează unor atacuri similare de acum aproape trei ani, când un grup asociat Gardienilor Revoluției (IRGC), urmărit sub numele CyberAv3ngers, a exploatat vulnerabilități în sisteme OT Unitronics din SUA. Atunci au fost compromise cel puțin 75 de PLC-uri, circa jumătate în rețele de infrastructură critică din sectorul apă și ape uzate. Separat, BleepingComputer menționează și un incident mai recent atribuit grupului hacktivist Handala (legat de Ministerul iranian al Informațiilor), care ar fi șters aproximativ 80.000 de dispozitive din rețeaua companiei americane Stryker. În lipsa unor detalii publice suplimentare despre organizațiile afectate în valul început în martie 2026, dimensiunea expunerii (mii de PLC-uri accesibile din internet) rămâne principalul indicator al riscului operațional și financiar pentru operatorii care folosesc astfel de echipamente. [...]
FBI avertizează asupra amenințării persistente a Iranului pentru ținte din SUA , conform unui raport de inteligență care indică riscuri pentru militari și instituții evreiești, informează Reuters . Raportul, datat 20 martie, a fost emis de FBI și alte agenții federale de inteligență, avertizând asupra amenințărilor persistente ale guvernului iranian la adresa personalului militar și guvernamental american, precum și a instituțiilor evreiești și israeliene din SUA. Deși aceste avertismente au fost emise, Casa Albă a minimalizat riscul unui atac, blocând anterior un raport similar. Președintele Donald Trump a declarat public că nu este îngrijorat de posibilitatea unui atac iranian pe teritoriul american, în ciuda altor evaluări de inteligență care sugerează contrariul. Detalii din raportul de inteligență Raportul intitulat „Public Safety Awareness Report” a fost obținut prin cereri de acces la informații publice de către organizația non-profit Property of the People și distribuit către Reuters. Documentul subliniază amenințările fizice crescute la adresa țintelor din SUA de către guvernul iranian, în contextul conflictului în curs. Raportul menționează că serviciile de securitate iraniene au încercat să răpească și să ucidă americani în ultimii ani. Metodele folosite în comploturile din SUA au inclus arme de foc, dar și alte metode precum înjunghieri, atacuri cu vehicule, bombardamente, otrăviri și incendieri. Reacția Casei Albe Casa Albă a justificat blocarea unui raport similar anterior, susținând că informațiile trebuie verificate corespunzător înainte de publicare. Abigail Jackson, purtătoare de cuvânt a Casei Albe, a declarat că administrația Trump lucrează împreună pentru a proteja teritoriul și poporul american, acuzând presa de răspândirea unor temeri nejustificate. „Întreaga administrație Trump lucrează împreună pentru a proteja patria și poporul american – așa cum fac întotdeauna”, a afirmat Abigail Jackson. „Instituțiile media nu ar trebui să încerce să răspândească frica iresponsabilă raportând memorii individuale ale forțelor de ordine care pot lipsi de context mai larg.” Amenințări și metode utilizate Raportul detaliază cum guvernul iranian preferă să folosească agenți cu statut legal existent în SUA sau cu acces facil la țară. Iranul a monitorizat rețelele sociale și aplicațiile de hărți pentru a alege ținte și a evalua măsurile de securitate. De asemenea, guvernul a folosit tactici de hacking, precum emailuri de tip phishing, pentru a-și atinge scopurile. Raportul avertizează autoritățile de aplicare a legii să rămână vigilente și să împărtășească informațiile îngrijorătoare cu autoritățile federale. În ciuda acestor avertismente, FBI și Centrul Național de Contraterorism nu au identificat amenințări largi la adresa publicului american. Percepția publicului american Un sondaj Reuters/Ipsos realizat luna trecută a arătat că majoritatea americanilor au o percepție negativă asupra conflictului, două treimi dintre aceștia dorind ca SUA să își încheie rapid implicarea. Această percepție publică face ca orice amenințare să fie deosebit de relevantă în contextul actual. [...]
Rockstar Games confirmă că a fost accesată o cantitate limitată de date interne , după ce un grup de hackeri ar fi cerut bani și a amenințat cu publicarea informațiilor, potrivit Rockstar Games . Incidentul ar fi implicat acces neautorizat la serverele companiei „folosind un instrument terț”, în contextul unei breșe care ar avea legătură cu Snowflake, un serviciu de stocare și analiză în cloud folosit de unele organizații. Neowin notează că informațiile despre atac au apărut inițial pe forumuri din „dark web”, unde atacatorii ar fi susținut că au compromis instanțe Snowflake ale Rockstar. Declarația oficială a companiei, preluată de Kotaku , încearcă să limiteze impactul perceput al incidentului și să transmită că nu sunt afectate operațiunile sau utilizatorii: „Putem confirma că a fost accesată o cantitate limitată de informații ale companiei, fără caracter material, în legătură cu o breșă de date a unei terțe părți. Acest incident nu are niciun impact asupra organizației noastre sau asupra jucătorilor noștri.” Dincolo de formularea prudentă („informații fără caracter material”), Rockstar nu a detaliat ce tip de date ar fi fost accesate, iar nici atacatorii nu ar fi oferit dovezi publice complete privind conținutul. În același timp, mesajul companiei indică o linie de apărare uzuală în astfel de situații: încadrarea evenimentului ca incident provenit din lanțul de furnizori (terță parte), nu ca o compromitere directă a sistemelor critice interne. Neowin amintește că nu este prima situație de acest tip pentru Rockstar: în 2022, compania a confirmat un atac informatic, după ce au ajuns online materiale din dezvoltarea GTA VI, iar în 2023 autorul atacului a fost condamnat la internare pe termen nedeterminat într-un spital din Regatul Unit. Separat de incidentul actual, publicația mai notează că GTA VI este programat, în acest moment, pentru lansare pe 19 noiembrie 2026, pe PlayStation 5 și Xbox Series X|S, pe fondul unor amânări anterioare. [...]
Un atac printr-un furnizor terț a dus la confirmarea unui scurt „data leak” la Rockstar Games , după ce gruparea ShinyHunters a cerut răscumpărare și a amenințat cu publicarea unor fișiere până la 14 aprilie 2026, potrivit WinFuture . Miza pentru companie nu este doar reputațională: incidentul indică un risc operațional tipic infrastructurilor cloud, în care accesul obținut prin „chei” digitale (token-uri) poate ocoli controale precum autentificarea în doi pași. Ce s-a întâmplat și care este termenul-limită ShinyHunters susține că a compromis rețeaua dezvoltatorului GTA 6 și cere o plată până la 14 aprilie 2026 , amenințând că va publica documentele obținute dacă nu primește banii. Publicația notează că atacul se abate de la scenariul clasic „intrăm direct în sistemele companiei”, fiind descris ca o compromitere printr-un lanț de furnizori. Vectorul de atac: furnizor terț, token-uri și acces la Snowflake Conform informațiilor din articol, atacatorii ar fi exploatat o vulnerabilitate la Anodot , un furnizor folosit de Rockstar pentru monitorizarea costurilor. De acolo, ar fi obținut chei de acces digitale (token-uri) și s-ar fi autentificat în mediul de baze de date Snowflake utilizat de Rockstar, „ca și cum” ar fi fost un serviciu intern legitim. WinFuture menționează că, potrivit CybersecGuru, metoda ar fi permis ocolirea autentificării standard cu doi factori (2FA), iar accesul a arătat inițial ca un proces normal de sistem, astfel că nu ar fi declanșat imediat alerte. Ce confirmă Rockstar și ce tip de date ar fi vizate Un purtător de cuvânt al Rockstar Games a confirmat un abuz de acces și un scurt flux de date , precizând că persoane neautorizate ar fi văzut, printr-un furnizor terț, o cantitate limitată de informații interne considerate „neesențiale”. Compania susține că incidentul nu ar afecta organizația sau jucătorii . Totuși, în material se arată că datele obținute ar include, „probabil”, documente precum: contracte, date financiare, planuri de marketing. Nu este clar dacă Rockstar intenționează să plătească răscumpărarea, iar compania-mamă Take-Two Interactive nu ar fi oferit detalii despre circumstanțe. De ce contează: riscul structural al dependenței de furnizori în cloud Cazul scoate în evidență o vulnerabilitate operațională: atunci când un furnizor extern primește permisiuni extinse, compromiterea lui poate deveni o poartă de acces către datele clientului. Într-un astfel de scenariu, „automatizarea” și interconectarea sistemelor — un avantaj în exploatare — se poate transforma într-un risc dacă token-urile sau integrările sunt deturnate. Următorul reper este 14 aprilie 2026 , când ar putea deveni mai limpede ce anume a fost extras și dacă amenințarea cu publicarea se materializează, în funcție de reacția companiei. [...]
OpenAI își schimbă rapid fluxul de semnare pentru aplicațiile macOS, după ce a depistat o vulnerabilitate într-un instrument terț folosit în lanțul său de dezvoltare , într-un caz care arată cât de expuse pot fi companiile la atacuri de tip „supply chain” (compromiterea furnizorilor/depedențelor software), potrivit economedia.ro . Compania spune că nu a găsit dovezi că datele utilizatorilor au fost accesate și nici că sistemele, proprietatea intelectuală sau software-ul său au fost modificate. Incidentul este legat de Axios, o bibliotecă de dezvoltare terță parte utilizată pe scară largă, pe care OpenAI afirmă că a fost compromisă pe 31 martie, într-un atac mai amplu asupra lanțului de aprovizionare software, atribuit unor actori despre care se crede că au legături cu Coreea de Nord. În urma compromiterii, un flux de lucru GitHub Actions folosit de OpenAI ar fi descărcat și executat o versiune malițioasă a Axios. Ce a fost expus și ce spune OpenAI că nu s-a întâmplat Potrivit companiei, fluxul de lucru afectat avea acces la un certificat și la materiale de autentificare folosite pentru semnarea aplicațiilor macOS (procesul prin care sistemul de operare poate verifica dacă aplicația provine de la un dezvoltator legitim). Sunt menționate explicit aplicațiile ChatGPT Desktop, Codex, Codex-cli și Atlas. OpenAI afirmă că analiza internă a concluzionat că certificatul de semnare prezent în acel flux de lucru „probabil” nu a fost exfiltrat (extras) cu succes de încărcătura malițioasă. Totodată, compania spune că parolele și cheile API (chei de acces pentru integrarea serviciilor) nu au fost afectate. Măsuri operaționale: actualizări obligatorii și suport tăiat pentru versiunile vechi OpenAI anunță că își actualizează certificările de securitate și le cere tuturor utilizatorilor de macOS să își actualizeze aplicațiile OpenAI la cele mai recente versiuni, pentru a reduce riscul distribuirii unor aplicații false. O consecință concretă pentru utilizatori și organizații: începând cu 8 mai, versiunile mai vechi ale aplicațiilor desktop macOS ale OpenAI nu vor mai primi actualizări sau asistență și „s-ar putea să nu mai fie funcționale”, conform companiei. OpenAI mai precizează că incidentul a avut drept cauză principală o configurare greșită în fluxul de lucru GitHub Actions, care a fost remediată. [...]
