Hackerii au reușit să blocheze programele de gestiune și contabilitate ale companiei, inclusiv baza de date a clienților, cerând o recompensă pentru a le debloca și a preveni ștergerea acestora. Contabilele firmei au fost primele care au observat problema, atunci când au încercat să acceseze programul de contabilitate SAGA.

„Colega mi-a spus că rețeaua nu merge și că folderele sunt goale. Am încercat să accesez și eu și am văzut că este gol. L-am sunat pe IT-ist și am mers la server. După ce am intrat pe server, am văzut că toate folderele sunt goale. După care, calculatorul s-a restartat. Se pare că un hacker mi-a accesat serverul la 12 decembrie și ne-a criptat cu BitLocker partiția, iar acum nu putem accesa parola, care este din 48 de caractere“, a povestit F.C., administratorul firmei de contabilitate.

16.000 de euro pentru recuperarea datelor

Analizând mai detaliat, se pare că hackerii au reușit să obțină acces la baza de date după ce, la 8 noiembrie, contabila a deschis un e-mail care părea să provină de la un client, solicitând confirmarea unui sold debitor. E-mailul s-a dovedit a fi spam, iar serverul firmei nu era protejat cu backup extern.

„Am deschis un e-mail care părea legitim, iar hackerii au reușit să cripteze baza de date și fișierele esențiale ale fiecărui client. Nu aveam backupuri externe, așa că au blocat accesul la informațiile noastre“, a declarat F.C.

După ce s-a restartat calculatorul, contabila a descoperit un folder nou numit „răscumpărare“, prin care hackerii îi ofereau posibilitatea de a comunica, pentru a negocia suma de bani cerută pentru deblocare.

„I-am trimis un e-mail în engleză, iar hackerul mi-a răspuns în română, spunând că are toată baza de date și că este în siguranță, dar va trebui să plătesc 16.000 de euro pentru a o recupera“, a relatat F.C. În urma acestui incident, administratorul firmei a depus o plângere la poliție și a început să negocieze cu hackerul. „Am încercat să negociem și i-am spus că nu dispunem de atâția bani. Drept răspuns, mi-a trimis cifra de afaceri din 2023 a firmei mele și m-a întrebat de ce mă plâng, că am de unde…“, a continuat F.C. „Totuși, după mai multe mesaje, mi-a spus să nu îi mai scriu, pentru că mi-a șters parola și m-a blocat“, a adăugat aceasta.

Recuperare stresantă după atacul hackerilor

După ce hackerul a blocat accesul la datele de pe server, echipa a început o perioadă extrem de stresantă, lucrând ore întregi pentru a recupera informațiile.

„Încercăm să reconstituim datele din ultimele backup-uri. Lucrăm de la 7 dimineața până seara târziu, pentru a recupera ce putem. Am reușit să recuperez câteva fișiere de pe un hard vechi. Am auzit de atacuri asupra instituțiilor statului, dar nu mă așteptam să fiu atacat ca mică firmă. Acum facem backupuri săptămânale pe harduri externe“, a mai adăugat expertul contabil.

Un alt expert contabil, I.B., a povestit despre un atac similar la care a fost supusă o firmă în august 2021. Hackerii i-au criptat baza de date și i-au cerut monede virtuale Ethereum pentru a o recupera.

„În urma accesării unui e-mail, hackerii mi-au criptat baza de date a programului SAGA și fișierul cu toate informațiile firmelor. După aceea, mi-au cerut monede Ethereum pentru a-mi recupera baza de date, dar am refuzat să plătesc. Din fericire, IT-istul a reușit să recuperez 80% din date“, a spus I.B.

Același e-mail din luna noiembrie l-a primit și I.B., însă, având experiență în fața unui atac similar, nu a deschis mesajul.

„Am primit același e-mail în noiembrie. De data aceasta, am bănuit că este un spam, mai ales că îmi cerea o parolă pentru a deschide un document și amenința cu o amendă dacă nu răspundeam la timp. Am trimis e-mailul unui IT-ist și mi-a confirmat că era un spam“, a explicat I.B.

Expertul IT explică atacurile de phishing

În contextul acestor atacuri cibernetice, Dan Buștean, specialist IT și administrator al unei firme de securitate cibernetică din Oradea, a explicat cum funcționează astfel de atacuri.

„Un atac recent primit de un client a ilustrat o campanie de phishing sofisticată. Hackerii au folosit tehnici avansate pentru a compromite securitatea prin exploatarea vulnerabilităților de tip Remote Code Execution (RCE). Atacatorii au folosit e-mailuri care păreau legitime, imitând corespondența contabilă obișnuită, pentru a determina victimele să acceseze fișiere infectate sau linkuri periculoase“, a spus Buștean. „Aceasta reprezintă o amenințare majoră, deoarece atacatorii pot prelua controlul asupra sistemelor, pot fura date și chiar pot criptografia fișiere esențiale“, a adăugat el.

În concluzie, atacurile cibernetice din ultimii ani subliniază importanța protejării datelor și a prevenirii breșelor de securitate în era digitală. Deși acest atac nu a avut consecințe mai grave, experții avertizează asupra riscurilor semnificative de pierdere de date și fraude, care pot afecta grav micile afaceri și care pot atrage sancțiuni uriașe în cazul încălcării regulamentului GDPR.

Sfaturi esențiale de la expertul IT

Pentru a preveni astfel de atacuri, Buștean oferă câteva recomandări esențiale:

1. Educație și conștientizare: Instruirea angajaților pentru a recunoaște e-mailurile de tip phishing și aplicarea celor mai bune practici de securitate.
2. Actualizări regulate: Menținerea sistemelor și aplicațiilor actualizate cu patch-uri de securitate.
3. Soluții de securitate avansate: Implementarea unor soluții de antivirus, firewall și sisteme de detectare a intruziunilor.
4. Backup periodic: Asigurarea unor copii de siguranță ale datelor, stocate în locații externe, inaccesibile prin rețea.
5. Verificări tehnice: Audite de securitate și teste de penetrare pentru a identifica vulnerabilitățile, înainte ca acestea să fie exploatate.
6. Servicii avansate de protecție: Utilizarea unor soluții care detectează și previn atacurile cibernetice, protejând rețeaua locală și identificând încercările de atac, înainte ca acestea să producă pagube.