Intervenția DNSC după atacul ransomware asupra Grupului Electrica
Directoratul Național de Securitate Cibernetică (DNSC) a acționat prompt în urma unui atac ransomware care a vizat Grupul Electrica. În urma incidentului, DNSC a sfătuit organizațiile, în special cele din sectorul energetic, să verifice infrastructura IT&C și să implementeze măsuri de securitate pentru a evita extinderea atacului, recomandându-le să nu plătească suma cerută de atacatori.
Detalii despre atac
DNSC a fost informat despre atacul cibernetic în dimineața zilei de luni, 9 decembrie 2024. Specialiștii au intervenit rapid pentru a asista la remedierea situației și pentru a investiga incidentul, care a fost confirmat ca fiind de tip ransomware, desfășurat de gruparea LYNX. Autoritățile competente lucrează împreună pentru a analiza impactul acestui atac.
Starea sistemelor critice
Conform informațiilor disponibile, sistemele esențiale pentru furnizarea energiei electrice nu au fost compromise și funcționează normal. Investigațiile continuă pentru a determina amploarea atacului și pentru a preveni viitoare incidente.
Recomandări pentru entități
DNSC îndeamnă toate organizațiile, în special cele din domeniul energetic, să efectueze scanări ale infrastructurii IT&C pentru a identifica eventuale amenințări. Utilizarea scriptului de scanare YARA este recomandată pentru a detecta malware-ul specific asociat grupării LYNX Ransomware. Aceasta include verificarea unor indicatori de compromis (IOCs) care au fost validați recent.
Acțiunile rapide de reacție și aplicarea măsurilor de protecție sunt esențiale pentru a asigura integritatea sistemelor și a preveni daunele cauzate de atacurile cibernetice.
Recomandări în cazul infectării cu ransomware
Directoratul Național de Securitate Cibernetică (DNSC) subliniază cu insistență că, în cazul unei atacuri ransomware, nu trebuie să se efectueze plata răscumpărării solicitate de atacatori. Este esențial ca toate entitățile din sectorul energetic să utilizeze indicatorii specificați pentru a-și evalua infrastructura IT&C, indiferent de starea în care se află în urma atacului LYNK Ransomware.
Pași de urmat pentru limitarea incidentului
În scopul limitării extinderii incidentului, se recomandă următoarele măsuri:
- Identificați sistemele afectate și izolați-le imediat de restul rețelei și de internet.
- Păstrați o copie a mesajului de răscumpărare, precum și orice alte comunicări primite de la atacatori, deoarece aceste informații sunt utile pentru autorități și pentru analiza ulterioară a incidentului.
- Colectați toate informațiile relevante din jurnalele de activitate ale echipamentelor afectate, precum și de la echipamentele de rețea și firewall-uri.
- Examinați jurnalele de sistem pentru a determina cum a fost compromisă infrastructura IT.
- Informati imediat toți angajații și notificați clienții și partenerii de afaceri afectați cu privire la incident și la impactul acestuia.
- Identificați eventuale instrumente sau utilitare care v-ar putea ajuta în procesul de decriptare. Organizații precum Europol și diverse companii de securitate cibernetică oferă instrumente gratuite pentru decriptarea unor tipuri de ransomware.
Restaurarea sistemelor afectate
Dacă aveți o copie de rezervă a datelor, restaurați sistemele afectate din backup, asigurându-vă că ați efectuat o curățare completă a acestora. De asemenea, verificați periodic și actualizați backup-urile pentru a le menține în siguranță împotriva atacurilor.
Este important să vă asigurați că toate programele, aplicațiile și sistemele de operare sunt actualizate la cele mai recente versiuni și că toate vulnerabilitățile cunoscute sunt remediate.
Atenție la mesajele suspecte
În plus, DNSC atrage atenția asupra mesajelor prin care utilizatorii sunt solicitați să-și actualizeze datele de cont, recomandând prudență și verificarea surselor înainte de a acționa.
