Folosim cookie-uri pentru a analiza traficul și a îmbunătăți experiența ta.
RefuzDirectoratul Național de Securitate Cibernetică (DNSC) a fost notificat în dimineața zilei de luni, 9 decembrie 2024 referitor la un atac cibernetic desfășurat asupra Grupului Electrica. În cel mai scurt timp, specialiști ai DNSC s-au deplasat la fața locului pentru a oferi suport în remedierea problemei și investigarea incidentului, unul de tip ransomware, alături de alte autorități cu atribuții în domeniu.
Pe baza datelor disponibile, sistemele critice pentru alimentarea cu curent electric nu au fost afectate și sunt funcționale, iar investigația este momentan în derulare.
DNSC recomandă tuturor entităților, în special celor din domeniul energiei, indiferent dacă au fost sau nu afectate de atacul ransomware, susținut de gruparea de criminalitate cibernetică LYNX Ransomware, să scaneze infrastructura proprie IT&C cu privire la binarul malițios (criptorul) prin utilizarea scriptului de scanare YARA.
IOCs validați la data de 11.12.2024
c02b014d88da4319e9c9f9d1da23a743a61ea88be1a389fd6477044a53813c72 1.exe
hXXp://lynxblog.net/
#YARA rules
rule ransomware_LYNX_1 {
meta:
description = “Detecteaza LYNX ransomware”
author = “DNSC”
date = “2024-12-10”
hash1 = “c02b014d88da4319e9c9f9d1da23a743a61ea88be1a389fd6477044a53813c72”
strings:
$s1 = “[+] Successfully decoded readme!” fullword ascii
$s2 = “[-] Failed to get service information for %s: %s” fullword wide
$s3 = “–file C:\\temp.txt,D:\\temp2.txt” fullword ascii
$s4 = “–file C:\\temp.txt” fullword ascii
$s5 = “AppPolicyGetProcessTerminationMethod” fullword ascii
$s6 = “[-] Failed to open service manager for %s: %s” fullword wide
$s7 = “[-] Failed to open service handle for %s: %s” fullword wide
$s8 = “[-] Failed to enum dependent services for %s: %s” fullword wide
$s9 = “[-] Failed to kill dependent services for %s: %s” fullword wide
$s10 = “[%s] Try to stop processes via RestartManager” fullword wide
$s11 = “[%s] Kill processes and services” fullword wide
$s12 = “Load hidden drives (will corrupt boot loader)” fullword ascii
$s13 = “README.txt” fullword wide
$s14 = “[-] Failed to mount %s: %s” fullword wide
$s15 = “[-] Failed to decode readme: %s” fullword ascii
$s16 = “Try to stop processes via RestartManager” fullword ascii
$s17 = “Kill processes/services” fullword ascii
$s18 = “–stop-processes ” fullword ascii
$s19 = “–stop-processes” fullword wide
$s20 = “[%s] Encrypt network shares” fullword wide
$op0 = { e8 22 c8 01 00 01 46 30 6a 00 11 56 34 6a 13 ff }
$op1 = { 23 d1 89 55 d0 8b 55 e4 81 f2 ff ff ff 03 f7 d2 }
$op2 = { 23 d1 89 55 d4 8b d7 81 f2 ff ff ff 01 f7 d2 8b }
condition:
uint16(0) == 0x5a4d and filesize < 500KB and
( 8 of them and all of ($op*) )
}
rule ransomware_LYNX_2 {
meta:
description = “Detecteaza LYNX ransomware”
score = 80
md5 = “2E8607221B4AB0EB80DE460136700226”
strings:
$s1 = “tarting full encryption in” wide
$s2 = “oad hidden drives” wide
$s3 = “ending note to printers” ascii
$s4 = “uccessfully delete shadow copies from %c:/” wide
$op1 = { 33 C9 03 C6 83 C0 02 0F 92 C1 F7 D9 0B C8 51 E8 }
$op2 = { 8B 44 24 [1-4] 6A 00 50 FF 35 ?? ?? ?? ?? 50 FF 15}
$op3 = { 57 50 8D 45 ?? C7 45 ?? 00 00 00 00 50 6A 00 6A 00 6A 02 6A 00 6A 02 C7 45 ?? 00 00 00 00 FF D6 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 04 8B F8 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? 57 6A 02 6A 00 6A 02 FF D6 }
$op4 = { 6A FF 8D 4? ?? 5? 8D 4? ?? 5? 8D 4? ?? 5? 5? FF 15 ?? ?? ?? ?? 85 C0 }
$op5 = { 56 6A 00 68 01 00 10 00 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 74 ?? 6A 00 56 FF 15 ?? ?? ?? ?? 68 88 13 00 00 56 FF 15 ?? ?? ?? ?? 56 FF 15}
condition:
uint16(0) == 0x5A4D and
(
3 of ($s*)
or 3 of ($op*)
or (2 of ($s*) and 2 of ($op*) )
)
}
RECOMANDĂRI
În eventualitatea unei infectări cu ransomware, Directoratul recomandă cu fermitate ca nimeni să nu plătească răscumpărarea cerută de către atacatori!
Folosirea indicatorilor de mai sus pentru scanarea infrastructurii IT&C de către toate entitățile din domeniul energiei, indiferent dacă au fost sau nu afectate de atacul LYNK Ransomware.
Pentru a limita extinderea incidentului vă recomandăm următoarele:
Telefon 1911
#DNSC #alert #cybersecurity #awareness
Rezerva Federală a SUA (Fed) a menţinut dobânda de referinţă la un interval cuprins între…
Ionuţ Aurică a fost numit în funcţia de vicepreşedinte al Agenţiei Naţionale de Administrare Fiscală,…
Valentin Ionescu (foto stânga), Președintele Institutului de Studii Financiare (ISF) și Ieronim Ștefan (dreapta), coordonatorul…
Serviciul Geofizic al Academiei Ruse de Științe a publicat pe canalul său de Telegram foto…
Robert Cosmin Până a fost numit Director General Adjunct al SAI Muntenia Invest, pentru un…
Emiratele Arabe Unite (EAU) vor începe, cu acordul Israelului, construcţia unei conducte importante ce va…
This website uses cookies.
Read More