Știri
Știri din categoria Securitate cibernetică

Un atac atribuit unui singur operator a folosit intensiv Claude și GPT‑4.1 pentru a scurta drastic timpii de compromitere ai unor instituții publice, într-o campanie care a vizat nouă agenții guvernamentale din Mexic și s-a soldat cu furtul a „sute de milioane” de înregistrări ale cetățenilor, potrivit TechRadar, care citează un raport al cercetătorilor de la Gambit. Miza pentru organizații este operațională: folosirea inteligenței artificiale generative (modele care pot produce text și cod) comprimă etapele atacului sub ferestrele obișnuite de detecție și răspuns.
Conform Gambit, campania s-a derulat de la finalul lui decembrie 2025 până la mijlocul lui februarie 2026. Cercetătorii afirmă că atacatorul a folosit „Claude Code” și GPT‑4.1 pe tot parcursul, de la planificare la execuție, iar aproximativ 75% din activitatea de „remote command execution” (RCE – execuție de comenzi la distanță pe sisteme compromise) ar fi fost generată și rulată cu ajutorul Claude Code.
Raportul mai indică folosirea unui instrument personalizat în Python, de 17.550 de linii, pentru a trimite date colectate de pe servere prin API-ul OpenAI. Rezultatul ar fi fost generarea a „2.597 de rapoarte de informații structurate” pe baza datelor din 305 servere interne.
În analiza post-incident, Gambit spune că a identificat peste 400 de scripturi de atac personalizate și 20 de exploit-uri (cod care exploatează vulnerabilități) adaptate pentru 20 de CVE-uri (identificatori standard pentru vulnerabilități). AI ar fi fost folosită pentru a decide ce vulnerabilități merită exploatate și pentru a genera codul de exploatare.
Un alt indicator al automatizării: atacatorul ar fi rulat peste 1.000 de solicitări (prompts), care au produs peste 5.300 de comenzi executate de AI, în 34 de sesiuni pe infrastructura reală a victimelor.
Gambit formulează explicit efectul operațional:
„Campania a comprimat cronologiile atacului sub ferestrele standard de detecție și răspuns.”
Și, în aceeași logică, cercetătorii susțin că metoda a permis unui singur operator să proceseze volume de date care, în mod normal, ar fi necesitat o echipă, transformând rapid recunoașterea inițială în ținte mapate și exploit-uri adaptate „în ore, nu în zile”.
Potrivit concluziilor Gambit, această abordare asistată de AI „reprezintă o evoluție semnificativă a capacității ofensive”, dar ar fi putut fi prevenită prin controale de securitate considerate standard, precum:
Contextul mai larg, subliniat de raport, este că utilizarea AI în criminalitatea cibernetică nu este nouă, însă eficiența obținută aici ridică presiunea pe organizații să-și reducă timpii de reacție și să-și întărească disciplina de bază în managementul vulnerabilităților și al accesului.
Recomandate

Atacul cibernetic asupra ANCPI a blocat e-Terra și e-mailurile instituției , iar cazul ridică semne de întrebare despre gestionarea vulnerabilităților vechi și despre riscul de expunere a datelor, potrivit HotNews . Hackerul care revendică atacul spune că motivația a fost „exclusiv câștigul financiar” și susține că a exploatat o vulnerabilitate cunoscută încă din 2021. Acesta a discutat în format text cu Euronews România, printr-o aplicație de mesagerie securizată, și a afirmat că nu vinde datele „chiar oricui”. Blocaj operațional la nivelul serviciilor de cadastru ANCPI a transmis că, începând de marți, 14 iulie, „toate sistemele informatice gestionate” de instituție sunt nefuncționale, inclusiv adresele de e-mail și aplicația de cadastru și carte funciară e-Terra. Instituția descrie incidentul drept „cel mai grav” din istoria sa și estimează că e-Terra nu va putea fi repusă în funcțiune până la sfârșitul săptămânii. Directoratul Național pentru Securitate Cibernetică (DNSC) a declarat vineri, într-un răspuns pentru HotNews, că specialiștii săi colaborează cu ANCPI pentru gestionarea incidentului și limitarea impactului asupra serviciilor. Ce spune atacatorul despre date și răscumpărare Atacatorul, cunoscut online ca „ ByteToBreach ”, despre care autoritățile române ar avea informații că este de origine algeriană, a transmis un mesaj de scuze pentru efectele produse: „Îmi pare rău pentru problemele pe care le-am cauzat pentru cetățeni și pentru echipa IT care lucrează acum din greu la ANCPI”. Întrebat dacă utilizatorii ar trebui să fie îngrijorați dacă datele au fost compromise, acesta a răspuns: „Nu vând aceste date chiar oricui”. Hackerul a negat și informația potrivit căreia ar fi cerut o răscumpărare de 10 milioane de euro, afirmând: „Oricărui om întreg la minte i-ar fi rușine să ceară un astfel de preț. Aceste lucruri se discută doar între părțile relevante”. Date scoase la vânzare și acuzații privind ștergerea din copii de rezervă Publicația de investigație Public Record a relatat că pe un site unde sunt tranzacționate scurgeri de date a apărut un anunț legat de ANCPI, iar autorul postării ar fi avertizat că a început să șteargă din back-upuri (copii de rezervă folosite pentru restaurarea datelor). În același mesaj, atacatorul susține că ar deține inclusiv o copie a serverelor GitLab cu cod sursă pentru sisteme precum Eterra și RENNS și menționează și o versiune a unui program de tip ransomware (software de șantaj care criptează datele). Separat, compania israeliană de securitate cibernetică Kela îl descrie pe autorul anunțului ca pe un infractor care comercializează date sensibile la nivel global, inclusiv din domenii precum bănci și guverne. O sursă „la curent cu incidentul” a declarat anterior pentru HotNews că autoritățile investighează o posibilă cerere de răscumpărare din partea unei grupări de hackeri, însă informația rămâne la nivel de verificare, conform sursei citate. [...]

Date sustrase din infrastructura ANCPI ar fi ajuns la vânzare online, iar întreruperea prelungită a sistemelor IT riscă să blocheze temporar operațiuni din piața imobiliară , în condițiile în care aplicația e-Terra rămâne indisponibilă cel puțin până la finalul săptămânii, potrivit Profit . Un atacator, citat de Public Record , susține că deține „datele cetățenilor români” provenite din baze de date colectate prin rețelele ANCPI și „o copie a serverelor GitLab” care ar conține codul-sursă al sistemelor instituției, inclusiv e-Terra și RENNS, precum și „o versiune a micului meu program de ransomware” (software malițios care criptează date și poate fi folosit pentru șantaj). În același timp, o sursă la curent cu incidentul a declarat pentru HotNews că autoritățile verifică o posibilă cerere de răscumpărare din partea unei grupări de hackeri. Ce spune ANCPI și cât durează indisponibilitatea ANCPI afirmă că a fost ținta unui atac cibernetic care a produs „cea mai amplă întrerupere tehnică din istoria instituției”, dar susține că „datele administrate prin sistemele informatice gestionate de ANCPI sunt în siguranță și nu au fost compromise”. Instituția a transmis că, începând de marți, 14 iulie, toate sistemele informatice gestionate de ANCPI – inclusiv adresele de e-mail și aplicația de cadastru și carte funciară e-Terra – sunt nefuncționale. Estimarea comunicată este că, „cel mai probabil”, e-Terra nu va fi disponibilă până la finalul săptămânii curente. De ce contează pentru economie: efectul operațional în tranzacții și servicii Indisponibilitatea e-Terra și a canalelor de comunicare ale instituției poate întârzia activități care depind de accesul la datele de cadastru și carte funciară, într-un moment în care piața imobiliară și serviciile conexe (notariat, evaluare, creditare) au nevoie de fluxuri operaționale predictibile. ANCPI spune că echipele tehnice lucrează la restabilirea funcționării „în condiții de siguranță”, iar cauza incidentului nu poate fi detaliată deocamdată, deoarece este investigată de instituțiile abilitate. Ce urmează: investigații și lipsa unor detalii oficiale suplimentare Circumstanțele atacului sunt investigate de autoritățile competente, iar, până la acest moment, alte instituții nu au făcut precizări oficiale suplimentare despre incident, potrivit informațiilor citate. În paralel, în spațiul public circulă afirmații ale atacatorului privind date scoase la vânzare, însă acestea nu sunt confirmate oficial de ANCPI în materialul citat. [...]

Datele sustrase din sistemele Agenției Naționale de Cadastru și Publicitate Imobiliară (ANCPI) au ajuns la vânzare online, ceea ce ridică riscul de expunere a informațiilor despre cetățeni și de prelungire a blocajului operațional al instituției , potrivit HotNews . Scurgerea de date ar fi fost listată la vânzare pe 15 iulie, conform publicației de investigație Public Record, care a indicat și anunțul apărut pe un forum dedicat comercializării de baze de date obținute ilegal. Ce spune atacatorul că ar fi obținut În postarea de vânzare, autorul susține că deține atât date ale cetățenilor „provenite din diverse baze de date colectate prin rețelele ANCPI”, cât și o copie a serverelor GitLab, despre care afirmă că ar conține codul-sursă al sistemelor instituției (inclusiv Eterra și RENNS). În același mesaj, atacatorul afirmă că a început să șteargă din copiile de siguranță (back-upuri), adică din seturile de date folosite pentru restaurarea sistemelor în caz de incident. Kela, o companie israeliană de securitate cibernetică, îl descrie pe autorul anunțului drept un infractor cibernetic cu competențe tehnice, care ar comercializa date sensibile la nivel global, inclusiv provenite de la companii aeriene, bănci și guverne. Impact operațional: sisteme indisponibile și termen de repornire estimat ANCPI se confruntă cu ceea ce instituția numește „cel mai grav incident tehnic din istoria” sa. Începând de marți, 14 iulie, toate sistemele informatice gestionate de agenție sunt nefuncționale, inclusiv adresele de e-mail și aplicația de cadastru și carte funciară e-Terra, potrivit unui comunicat citat de News.ro. Instituția estimează că e-Terra nu va putea fi repusă în funcțiune până la sfârșitul acestei săptămâni. Ancheta și răspunsul autorităților O sursă la curent cu incidentul a declarat pentru HotNews că autoritățile verifică o posibilă cerere de răscumpărare din partea unei grupări de hackeri care ar fi lansat atacul. Directoratul Național pentru Securitate Cibernetică (DNSC) a transmis, într-un răspuns pentru HotNews, că specialiștii săi colaborează cu Agenția de Cadastru pentru gestionarea incidentului și limitarea impactului asupra serviciilor instituției. [...]

Indisponibilitatea unor aplicații publice-cheie după incidente cibernetice crește riscul de blocaj operațional în relația dintre stat și mediul privat, în condițiile în care platforma „Achiziții Beneficiari Privați” nu poate fi accesată, iar e-Terra rămâne offline până la finalul săptămânii, potrivit Profit . Ministerul Investițiilor și Proiectelor Europene (MIPE) afirmă că, imediat după sesizarea incidentului care vizează aplicația „Achiziții Beneficiari Privați”, a notificat instituțiile cu atribuții în domeniu, iar echipele tehnice lucrează împreună pentru analiză și repunerea în funcțiune a sistemului. MIPE precizează, totodată, că aplicația nu este utilizată pentru implementarea proiectelor finanțate din PNRR. e-Terra, indisponibilă până la finalul săptămânii Separat, Agenția Națională de Cadastru și Publicitate Imobiliară (ANCPI) anunță că aplicația de cadastru și carte funciară e-Terra nu va fi disponibilă până la finalul săptămânii, după un incident pe care instituția îl descrie drept „cel mai grav incident tehnic din istoria” sa. ANCPI a transmis că a fost ținta unui atac cibernetic care a generat cea mai amplă întrerupere tehnică de până acum, dar susține că datele administrate prin sistemele informatice gestionate de agenție „sunt în siguranță” și „nu au fost compromise”. Circumstanțele atacului sunt investigate de instituțiile competente ale statului. Context: reacții diplomatice și discuții despre sancțiuni În plan extern, România a condamnat, alături de state membre UE și țări Aliate, activitățile cibernetice ostile atribuite unor grupări controlate de Centrul 16 al Serviciului Federal de Securitate al Federației Ruse (FSB) , îndreptate împotriva statelor UE, a aliaților NATO și a partenerilor acestora. Ministerul Afacerilor Externe arată că aceste activități se înscriu într-un tipar european și euro-atlantic, descris ca utilizarea de către Federația Rusă a unui „ecosistem cibernetic complex”, care combină actori statali (inclusiv servicii de informații) și actori nestatali (grupări infracționale, hacktiviști, companii private). În același context, MAE menționează că România a furnizat informații despre persoane suspectate de atacuri derulate prin platforma Noname și că, la nivelul Consiliului Afaceri Externe, s-a confirmat validitatea juridică a unei propuneri avansate de România pentru măsuri restrictive în cadrul regimului de sancțiuni pentru atacuri cibernetice, urmând ca statele membre să își exprime punctele de vedere înainte de adoptare și publicare. De ce contează pentru companii Dincolo de componenta de securitate, efectul imediat este unul operațional: indisponibilitatea unor platforme utilizate în interacțiunea cu instituțiile publice poate întârzia procese administrative și fluxuri de lucru care depind de accesul la aplicații și date. În cazul incidentelor menționate, autoritățile indică investigații în curs și eforturi de reoperaționalizare, fără a avansa un termen pentru aplicația „Achiziții Beneficiari Privați”, iar pentru e-Terra indicând explicit finalul săptămânii. [...]

Guvernul Indiei investighează o breșă majoră la Tata Electronics , după ce peste 630 GB de date confidențiale – inclusiv documente despre iPhone 18 Pro – au fost furate și au ajuns pe dark web , potrivit IT Home . Cazul ridică miza de securitate cibernetică pentru lanțul de aprovizionare al Apple și pentru alți jucători tehnologici ale căror fișiere ar fi fost expuse. Atacul cibernetic a vizat luna trecută o fabrică Tata Electronics din India și ar fi dus la sustragerea a peste 630 GB de date. În pachetul de informații furate se află, conform materialului, inclusiv planuri de proiectare pentru plăcile de bază ale seriei iPhone 18 Pro (neanunțată oficial), precum și manuale de date pentru mai multe cipuri dezvoltate intern de Apple. Ce face statul indian și cine gestionează incidentul Publicația notează că secretarul Ministerului indian al Electronicii și Tehnologiei Informației, S. Krishnan, a făcut joi primele comentarii publice ale guvernului despre incident, afirmând că autoritățile investighează scurgerea de date de la Tata Electronics. Cazul a fost raportat către Indian Computer Emergency Response Team (CERT-In), instituția principală responsabilă de gestionarea incidentelor de securitate informatică în India. Impactul depășește Apple: documente despre Tesla, Qualcomm și TSMC, publicate pe dark web Dincolo de Apple, în urma breșei ar fi fost publicate pe dark web și documente asociate cu Tesla, Qualcomm și TSMC, conform aceleiași surse. Informația sugerează un incident cu efecte în cascadă asupra mai multor companii, tipic pentru riscurile din lanțurile globale de furnizare și producție. Măsuri la nivelul Tata: audit criminalistic După incident, Tata ar fi angajat o firmă globală de consultanță pentru a derula un audit de tip „forensic” (audit criminalistic digital), menit să stabilească modul de compromitere și amploarea exactă a accesului neautorizat, potrivit articolului. Publicația nu oferă detalii despre identitatea firmei sau despre un calendar al concluziilor. [...]

Încrederea ridicată a IMM-urilor în reziliența cibernetică riscă să mascheze lacune de înțelegere și prioritizare a amenințărilor , arată datele citate de Economica din Eset SMB Cyber Readiness Index 2026 , un sondaj realizat pe 4.400 de companii din 13 țări. Miza este una operațională: dacă firmele își supraestimează capacitatea de apărare, pot investi greșit și pot rămâne expuse la atacuri frecvente, precum phishingul și ransomware. Studiul indică un nivel ridicat de încredere în capacitatea de a preveni atacurile și de a gestiona incidentele, deși, în paralel, multe IMM-uri ar avea o înțelegere limitată a securității cibernetice, inclusiv a soluțiilor folosite și a impactului inteligenței artificiale asupra amenințărilor. Ce spun cifrele despre încredere și ce o influențează În privința prevenirii atacurilor informatice, 18% dintre respondenți afirmă că măsurile lor de securitate pot preveni atacurile, în timp ce 7% spun că nu au încredere sau au foarte puțină încredere în această capacitate. Un factor asociat cu un nivel mai mare de încredere este asigurarea cibernetică (poliță care poate impune controale specifice de securitate). Organizațiile care dețin o astfel de asigurare raportează cel mai ridicat nivel de încredere în reziliența cibernetică (37% dintre respondenți), iar aproape 88% dintre acestea se declară „foarte” sau „oarecum” încrezătoare în capacitatea de a face față incidentelor. De asemenea, companiile care s-au confruntat cu mai multe incidente de securitate (14% dintre respondenți) manifestă, paradoxal, un nivel ridicat de încredere: 81% dintre ele spun că sunt „foarte” sau „oarecum” încrezătoare că pot gestiona astfel de situații. AI: teamă mare, dar risc de focalizare greșită Cercetarea notează că, deși IMM-urile sunt cel mai îngrijorate de malware-ul bazat pe inteligență artificială, rolul principal al AI ar fi, în practică, reducerea „barierei de intrare” pentru infractorii cibernetici, care pot lansa mai ușor atacuri sofisticate. Expertul Eset Roman Cuprik avertizează că această preocupare poate avea „două tăișuri”: crește conștientizarea importanței securității, dar poate împinge companiile să-și concentreze atenția pe amenințări „mult mai puțin răspândite decât cred”. „Deşi IMM-urile sunt cel mai îngrijorate de malware-ul bazat pe inteligenţă artificială, în realitate, AI are, în principal, rolul de a reduce bariera de intrare pentru infractorii cibernetici în lansarea unor atacuri sofisticate.” Amenințările care rămân dominante: phishing și ransomware Potrivit datelor de telemetrie ale producătorului de soluții antivirus, phishingul rămâne cea mai răspândită amenințare, folosită pentru a ocoli mecanismele de apărare, a sustrage informații sau a distribui malware. Ransomware (atacuri care blochează sau criptează datele pentru a cere răscumpărare) vizează tot mai des IMM-urile, pe fondul accesibilității unor instrumente tot mai sofisticate. O analiză a site-urilor de publicare a datelor furate indică o creștere anuală de 50% a atacurilor ransomware, iar telemetria arată o majorare de 13% a detecțiilor între prima și a doua jumătate a anului 2025. Ce urmează: ghiduri și controale concrete, nu doar „încredere” Concluzia operațională a materialului este că IMM-urile investesc mai mult și folosesc soluții avansate, dar nu le înțeleg întotdeauna funcționarea și limitele, ceea ce poate reduce eficiența reală a protecției. În acest context, specialiștii recomandă urmarea ghidurilor publicate de instituții de încredere, precum Cybersecurity and Infrastructure Security Agency (CISA). [...]