Știri
Știri din categoria Securitate cibernetică

Dream, startupul israelian cofondat de creatorul Pegasus, își extinde vânzările către guverne din America Latină, mizând pe o combinație de presiune operațională (atacuri cibernetice în creștere) și convergență politică în regiune, potrivit The Next Web.
Compania, care și-a triplat evaluarea la 3 miliarde de dolari (aprox. 13,8 miliarde lei) în acest an, vizează guverne aliniate cu Washingtonul într-o zonă unde atacurile cibernetice ar crește cu circa 25% anual, iar apărarea națională este descrisă ca fiind printre cele mai slabe la nivel global. Extinderea atrage atenția și prin profilul cofondatorului Shalev Hulio, care a creat NSO Group, firma din spatele spyware-ului Pegasus, folosit de guverne pentru monitorizarea jurnaliștilor, activiștilor și opozanților politici în peste 50 de țări.
Dream a fost fondată în ianuarie 2023, la câteva luni după ce Hulio a demisionat din funcția de CEO al NSO. Compania se poziționează ca furnizor „pur defensiv”: platforme bazate pe inteligență artificială pentru detectarea amenințărilor și remedierea vulnerabilităților, nu instrumente de supraveghere ofensivă.
Operațional, Dream susține că își antrenează modele lingvistice proprietare într-un centru de date „suveran” lângă Modiin, în Israel, fără a se baza pe furnizori publici de cloud — o cerință frecventă în zona de securitate națională, unde datele și infrastructura trebuie controlate strict de stat sau de furnizori agreați.
Compania are peste 300 de angajați în birouri din Tel Aviv, Viena și Abu Dhabi și plănuiește un birou la München.
Argumentul comercial este legat de urgența operațională: America Latină este descrisă drept cea mai rapidă piață în creștere pentru atacuri cibernetice, cu incidente în urcare cu aproximativ 25% anual (estimări din industrie). The Next Web citează și o evaluare a Băncii Mondiale care ar fi acordat regiunii un scor mediu de 10,2 din 20 la pregătirea de securitate cibernetică, dar precizează că metodologia și vechimea acestei cifre nu au putut fi verificate independent.
Ca exemplu de impact, publicația amintește cazul Costa Rica (2022): gruparea Conti a lovit aproximativ 30 de instituții guvernamentale, a cerut 10 milioane de dolari (aprox. 46 milioane lei) și a determinat declararea stării de urgență națională pe 8 mai. Ulterior, gruparea Hive a atacat sistemul de sănătate, forțând spitalele să revină la proceduri pe hârtie. Mesajul pentru guvernele din regiune este că un stat de dimensiune medie poate fi paralizat luni întregi de actori criminali aflați în afara continentului.
Dream își sincronizează intrarea în regiune cu o „deplasare spre dreapta” și cu apariția unor lideri descriși ca fiind mai prietenoși cu Israelul. În Argentina, Javier Milei își promovează țara ca hub de inteligență artificială și a promis mutarea ambasadei la Ierusalim, apropiind Buenos Aires de Washington și Tel Aviv.
În Columbia, The Next Web notează că Abelardo De la Espriella a câștigat turul decisiv prezidențial pe 21 iunie cu 49,66% și a promis reluarea relațiilor diplomatice cu Israelul, suspendate în 2024 de predecesorul său, Gustavo Petro, pe fondul războiului din Gaza.
Publicația argumentează că această aliniere contează deoarece vânzările de platforme „suverane” de apărare cibernetică depind de relații de încredere între guverne, diferite de contractele comerciale obișnuite din cybersecurity.
Extinderea Dream într-o regiune unde tehnologia de supraveghere a ajuns și la guverne cu bilanț slab în materie de drepturi ale omului ridică inevitabil semne de întrebare. NSO Group a fost inclusă pe lista neagră a Departamentului Comerțului din SUA în noiembrie 2021, după ce Pegasus a fost identificat pe telefoanele unor jurnaliști, disidenți și ale cel puțin unui membru al Parlamentului European care investiga abuzuri legate de spyware.
Hulio s-a distanțat de acest trecut, iar investitorii Dream — conduși de Bicycle Capital și Group 11 — au acceptat ideea că securitatea defensivă este un business fundamental diferit de supravegherea ofensivă. Rămâne însă deschis dacă organizațiile societății civile din America Latină vor face aceeași distincție, în condițiile istoricului regional de utilizare a instrumentelor de supraveghere împotriva opoziției interne.
Dream ar fi depășit 300 milioane de dolari (aprox. 1,38 miliarde lei) în vânzări, mai mult decât dublu față de acum doi ani, potrivit articolului. Compania nu își numește public clienții guvernamentali, dar indică faptul că are unele dintre cele mai mari conturi în Orientul Mijlociu.
Intrarea în America Latină ar adăuga un al patrulea continent și o bază de clienți ale căror bugete de securitate cibernetică „cresc de la un nivel foarte scăzut”. În paralel, piața „suverană” de apărare cu inteligență artificială atrage noi competitori, însă Dream pornește cu un avantaj de scară și relații guvernamentale, mai notează The Next Web.
Recomandate

Creșterea de trei ori a atacurilor cibernetice atribuite Iranului pune presiune pe companii și pe furnizorii de infrastructură critică din Israel , pe fondul escaladării conflictului din regiune, potrivit Reuters . Yossi Karadi , director general al Directoratului Național pentru Securitate Cibernetică din Israel , a declarat pentru publicația germană Die Welt că numărul incidentelor cibernetice ostile înregistrate de autoritățile israeliene a urcat semnificativ după lansarea ofensivei americano-israeliene împotriva Iranului din acest an. În iunie 2025, în timpul operațiunilor militare israeliene împotriva Iranului, autoritățile au raportat aproximativ 1.600 de incidente. În aceeași lună din 2026, nivelul a crescut la circa 4.800 de incidente, potrivit declarațiilor lui Karadi. Ținte: infrastructură critică, organizații centrale și firme mici și mijlocii Karadi a spus că atacurile au vizat sisteme folosite de infrastructura critică a Israelului, organizații centrale, companii mici și mijlocii, dar și publicul larg. Ca exemple de entități mai mici afectate, el a menționat cabinete de avocatură și firme de contabilitate. Oficialul a susținut că, până acum, Israelul a reușit să respingă atacurile asupra infrastructurii critice, dar a avertizat că grupările implicate pot fi „foarte pricepute” și trebuie tratate cu seriozitate. „Putem să le gestionăm, dar trebuie să le luăm în serios. Spre deosebire de domeniul kinetic, nu există armistițiu în spațiul cibernetic.” Impact operațional: ștergerea sistemelor la ținte mai vulnerabile Potrivit lui Karadi, companiile mai ușor de penetrat au ajuns adesea în situația de a avea sistemele informatice „șterse”, fără ca el să ofere nume sau detalii despre organizațiile afectate. Reuters notează că Iranul neagă, de regulă, desfășurarea de campanii de hacking împotriva altor țări, în timp ce raportează atacuri asupra propriilor sisteme. [...]

O campanie de phishing care urmărește preluarea conturilor de mesagerie criptată vizează oficiali guvernamentali, personal militar, jurnaliști și persoane cu acces la informații sensibile, prin mesaje trimise pe Signal, WhatsApp și Telegram, potrivit Știrile Pro TV . Miza operațională este directă: atacatorii încearcă să obțină „cheia de recuperare” a contului (Recovery Key), ceea ce le poate permite accesul la conversații și la identitatea digitală a țintei. Avertismentul a fost transmis de Directoratul Național pentru Securitate Cibernetică (DNSC) , care citează o alertă emisă de FBI și Cybersecurity and Infrastructure Security Agency (CISA) la 26 iunie 2026. Activitatea este atribuită unor grupuri asociate serviciilor de informații ruse (FSB și structuri militare), urmărite public sub denumirile UNC5792 și UNC4221. Cum funcționează atacul: „suport tehnic” fals și cerere de Recovery Key Conform DNSC, atacatorii trimit mesaje care par a veni de la „suportul tehnic” al aplicației și invocă probleme de securitate sau de sincronizare. Victima este apoi îndrumată să activeze funcția de backup a contului și să trimită direct cheia de recuperare, sub pretextul „confirmării” sau „restaurării” contului. Ce recomandă DNSC utilizatorilor vizați DNSC subliniază că serviciile reale de suport ale aplicațiilor de mesagerie nu cer niciodată, în chatul din aplicație, coduri de verificare, PIN-uri sau chei de backup, ci comunică doar prin canale oficiale (e-mail, nu mesaje în aplicație). Recomandările pentru cei care primesc un mesaj suspect includ: să nu introducă și să nu trimită nimănui cheia de recuperare; dacă cheia a fost totuși transmisă, să fie regenerată imediat din „Settings” și „Backup” (DNSC precizează că cheia veche rămâne validă la infinit, inclusiv pe un cont nou creat cu același număr); raportarea mesajului și blocarea expeditorului; verificarea autenticității printr-un canal oficial, nu prin linkuri primite în chat. [...]

NordVPN mută „obfuscarea” pe NordWhisper , ceea ce poate însemna conexiuni mai rapide și mai multe locații utile în rețele care blochează VPN-uri , potrivit TechRadar . Schimbarea este deja activă pe iOS și urmează să fie extinsă treptat pe Android, Windows și macOS „în următoarele săptămâni”. Mutarea este relevantă operațional pentru utilizatorii care depind de VPN în medii restrictive (rețele de birou, școli, Wi‑Fi public sau regiuni cu cenzură), deoarece „serverele obfuscate” sunt concepute să ascundă faptul că traficul trece printr-un VPN, pentru a trece de firewall-uri și de inspecția profundă a pachetelor (deep packet inspection). Ce se schimbă, concret Până acum, conectarea la serverele obfuscate însemna folosirea protocolului OpenVPN , pentru că obfuscarea era legată de variantele TCP și UDP ale acestuia. NordVPN a mutat acum această funcție pe NordWhisper, protocolul propriu „rezistent la cenzură”, lansat la începutul lui 2025. În practică, categoria de servere obfuscate „rulează” acum pe NordWhisper „sub capotă”, fără ca utilizatorul să fie nevoit să facă o schimbare manuală de protocol (în funcție de cum este implementat în aplicație). De ce contează: viteză și acoperire mai largă NordVPN motivează schimbarea prin două beneficii principale: Viteză mai bună : conexiunile obfuscate pe OpenVPN au un „cost” de performanță, pentru că traficul VPN este împachetat într-un strat suplimentar de camuflare, ceea ce tinde să încetinească. NordWhisper este proiectat să se „amestece” cu traficul web obișnuit, ceea ce ar trebui să reducă această penalizare. Mai multe locații disponibile : până acum, lista de țări pentru serverele obfuscate a fost mai limitată decât flota totală de servere NordVPN. Mutarea pe NordWhisper „deschide ușa” către o gamă mai largă de locații — un avantaj important pentru utilizatorii din zone cu filtrare agresivă. Marijus Briedis, CTO NordVPN, a declarat pentru TechRadar că NordWhisper este conceput să funcționeze „la fel de bine sau mai bine” decât OpenVPN în rețele restrictive și că, „în multe cazuri”, utilizatorii ar trebui să vadă îmbunătățiri datorită vitezelor mai bune și numărului mai mare de locații. Impact pe securitate și ce urmează Publicația notează că schimbarea nu ar veni cu un compromis de securitate: NordWhisper ar urma aceleași standarde de criptare și confidențialitate ca celelalte protocoale NordVPN, astfel încât utilizatorii să obțină „discreție” fără să piardă la capitolul protecție. Pe termen scurt, rămâne de urmărit ritmul extinderii către celelalte platforme, deoarece actualizarea se face gradual și nu toți utilizatorii o vor vedea imediat. Pe termen mai lung, NordVPN indică faptul că vrea să ducă NordWhisper către un design complet bazat pe TLS și să exploreze protocolul QUIC, pentru a ține pasul cu instrumentele de cenzură tot mai capabile. [...]

Guvernul Indiei investighează o breșă majoră la Tata Electronics , după ce peste 630 GB de date confidențiale – inclusiv documente despre iPhone 18 Pro – au fost furate și au ajuns pe dark web , potrivit IT Home . Cazul ridică miza de securitate cibernetică pentru lanțul de aprovizionare al Apple și pentru alți jucători tehnologici ale căror fișiere ar fi fost expuse. Atacul cibernetic a vizat luna trecută o fabrică Tata Electronics din India și ar fi dus la sustragerea a peste 630 GB de date. În pachetul de informații furate se află, conform materialului, inclusiv planuri de proiectare pentru plăcile de bază ale seriei iPhone 18 Pro (neanunțată oficial), precum și manuale de date pentru mai multe cipuri dezvoltate intern de Apple. Ce face statul indian și cine gestionează incidentul Publicația notează că secretarul Ministerului indian al Electronicii și Tehnologiei Informației, S. Krishnan, a făcut joi primele comentarii publice ale guvernului despre incident, afirmând că autoritățile investighează scurgerea de date de la Tata Electronics. Cazul a fost raportat către Indian Computer Emergency Response Team (CERT-In), instituția principală responsabilă de gestionarea incidentelor de securitate informatică în India. Impactul depășește Apple: documente despre Tesla, Qualcomm și TSMC, publicate pe dark web Dincolo de Apple, în urma breșei ar fi fost publicate pe dark web și documente asociate cu Tesla, Qualcomm și TSMC, conform aceleiași surse. Informația sugerează un incident cu efecte în cascadă asupra mai multor companii, tipic pentru riscurile din lanțurile globale de furnizare și producție. Măsuri la nivelul Tata: audit criminalistic După incident, Tata ar fi angajat o firmă globală de consultanță pentru a derula un audit de tip „forensic” (audit criminalistic digital), menit să stabilească modul de compromitere și amploarea exactă a accesului neautorizat, potrivit articolului. Publicația nu oferă detalii despre identitatea firmei sau despre un calendar al concluziilor. [...]

O campanie de phishing care vizează utilizatorii WhatsApp, Telegram și Signal poate duce la preluarea contului dacă victima ajunge să transmită „cheia de recuperare” (backup) cerută prin mesaje ce se dau drept suport tehnic, potrivit Antena 3 , care citează o alertă transmisă de Directoratul Național de Securitate Cibernetică (DNSC) pe baza unei semnalări FBI și CISA . Atacul a fost identificat pe 26 iunie 2026 și folosește mesaje care pretind că anunță probleme de securitate sau de sincronizare a contului. În scenariul descris de autorități, utilizatorul este îndrumat să activeze funcția de backup, apoi să trimită cheia de recuperare, sub pretextul „confirmării identității” sau al restaurării contului. De ce contează: cheia de recuperare poate rămâne valabilă „pe termen nelimitat” DNSC avertizează că serviciile oficiale de suport ale aplicațiilor de mesagerie nu cer niciodată coduri de verificare, PIN-uri sau chei de backup și nu trimit linkuri de verificare/restaurare prin mesaje în aplicație, comunicarea oficială fiind realizată doar prin canale verificate, precum e-mailul. Un element operațional important din avertisment este că, odată divulgată, cheia veche „rămâne validă pe termen nelimitat”, inclusiv pentru conturi nou create cu același număr de telefon. Cu alte cuvinte, compromiterea nu se oprește automat și poate necesita acțiune imediată din partea utilizatorului. Cine este vizat, potrivit avertismentului Conform informării citate, țintele principale ale campaniei sunt: oficiali guvernamentali; personal militar; jurnaliști; persoane cu acces la informații sensibile. Activitatea este atribuită unor grupuri asociate serviciilor de informații ruse, urmărite sub denumirile UNC5792 și UNC4221, mai arată avertismentul. Ce recomandă DNSC utilizatorilor Autoritățile recomandă: să nu fie introdusă și să nu fie transmisă nimănui cheia de recuperare; dacă cheia a fost deja divulgată, să fie regenerată imediat din setările aplicației; să fie raportat și blocat expeditorul mesajelor suspecte; să fie verificată autenticitatea informațiilor doar prin canale oficiale și să fie evitat accesul pe linkuri primite în conversații. DNSC subliniază că vigilența utilizatorilor rămâne esențială, deoarece astfel de atacuri de tip phishing exploatează încrederea în platformele de comunicare criptată. [...]

Un val de atacuri de tip „ password spraying ” a generat peste 81 de milioane de încercări de autentificare în medii Microsoft 365 în doar două săptămâni , iar o parte dintre compromiteri au fost posibile prin politici de acces condiționat configurate astfel încât să nu acopere un flux de autentificare care poate ocoli autentificarea cu mai mulți factori (MFA), potrivit Bleeping Computer . Atacatorul a încercat să se autentifice prin interfața de linie de comandă Azure ( Azure CLI ), folosind combinații încă valide de utilizator și parolă expuse în breșe mai vechi. Azure CLI este folosită de administratori pentru gestionarea resurselor din cloud (mașini virtuale, aplicații, baze de date și automatizări). Odată găsite credențiale valide, autentificarea a fost realizată prin mecanismul OAuth numit ROPC (Resource Owner Password Credentials). Conform analizei, acest flux poate ocoli MFA în multe organizații atunci când politicile de „Conditional Access” (acces condiționat) sunt incomplete sau aplicate greșit. Ce impact operațional au observat cercetătorii Compania de securitate administrată Huntress spune că a urmărit campania între 12 și 26 iunie și a confirmat compromiterea a 78 de conturi Microsoft din 64 de organizații. În același timp, Huntress a raportat o creștere de peste 155 de ori a atacurilor de tip password spraying, organizațiile ajungând să înregistreze, în medie, 1.964 de încercări eșuate de autentificare pe „tenant” (instanță/organizație Microsoft 365) în fiecare lună. Unde au cedat politicile de securitate Huntress afirmă că multe dintre companiile compromise aveau MFA implementat prin politici de acces condiționat, însă MFA nu era configurat să acopere fluxul folosit de atacatori. Publicația citează explicația Huntress privind limitările ROPC: „ROPC este considerat problematic din mai multe motive, dar unul dintre ele este că nu oferă suport pentru fluxuri moderne de autentificare precum MFA sau SSO.” „Asta înseamnă că, așa cum am văzut în această campanie, ROPC trimite parola direct către endpoint-ul /token, fără o solicitare interactivă de MFA.” Printre configurările greșite menționate se numără: MFA aplicat doar unor aplicații specifice, nu pentru „All Cloud Apps”; MFA impus doar pentru anumite grupuri de utilizatori (de exemplu, administratori); MFA cerut doar din locații „neîncrezătoare”, permițând trafic din IP-uri care par din locații de încredere; politici setate în modul „report-only” (doar raportare), fără aplicare efectivă. În unele cazuri, cercetătorii spun că nu exista deloc o politică MFA. Cine ar fi în spatele campaniei Nu este clar cine a derulat atacurile. Huntress notează însă că activitatea ar proveni dintr-un interval IPv6 deținut de LSHIY LLC (AS32167). Cercetătorii au transmis constatările către LSHIY prin portalul de raportare a abuzurilor, dar nu primiseră un răspuns la momentul publicării raportului. [...]