DNSC: România se confruntă cu un set de amenințări cibernetice în creștere. Cât de mult s-au intensificat atacurile din Federația Rusă, pe fondul războiului din Ucraina

Spațiul cibernetic global și regional a fost marcat de o intensificare fără precedent a atacurilor informatice, în perioada 2024–2025, cu un impact semnificativ asupra organizațiilor publice și private, dar și asupra cetățenilor, iar România resimte direct aceste evoluții, confruntându-se cu un peisaj cibernetic complex, caracterizat de infracționalitate organizată și atacuri informaționale, au detaliat, miercuri, oficialii DNSC.

Incidente din ce în ce mai sofisticate

Potrivit datelor DNSC, în 2024, au fost vizate toate tipurile de atacuri, indiferent de domeniul de activitate, majoritatea acestora fiind dezvoltate în urma unor cercetări prealabile, pe piață, din partea grupărilor hacktiviste, și, chiar dacă nu este o noutate, conflictul ruso-ucrainean a reprezentat principala premisă a acestor intensificări.

În particular, s-a constatat o creștere a atacurilor de tip ransomware, care au vizat nu numai societățile comerciale cu impact major la nivel național, dar și întreprinderi mici și mijlocii, sumele de răscumpărare solicitate fiind mai mici, precum și instituții ale administrației publice, arată oficialii

„Sunt din ce în ce mai sofisticate, compromit infrastructuri dintr-un stat membru al Uniunii Europene, pentru a executa atacuri în alt stat și de foarte multe ori, atunci când nu sunt actori statali în spate, motivația este eminamente financiară, care este foarte dificil de combătut dacă nu există o conștientizare foarte bună”, a declarat directorul general al DNSC, Dan Cîmpean.

Tentativele de fraudă prin telefon, în creștere

Război Israel-Iran. SUA au bombardat trei instalații nucleare ale Iranului / Consilier al liderului suprem iranian: „Jocul nu s-a terminat”

Cum operează atacatorii

Sursa foto: ALEXANDRU DOBRE / MEDIAFAX FOTO

Procentual, în topul economiei globale a criminalității cibernetice sunt acțiunile tip ransomeware & extorcare (26,7%).

Pentru a ilustra tipologia incidentelor recente, directorul general al DNSC, Dan Cîmpean, a detaliat, în conferința de miercuri, cinci exemple recente identificate de specialiștii instituției în ultimele patru săptămâni.

„Noi nu prea discutăm despre analize, investigații în derulare, deci dacă avem incidente în derulare și echipele noastre operaționale lucrează pe incident, evident, nu vrem să divulgăm astfel de detalii tehnice sau non-tehnice. Am selectat împreună cu colegii mei cinci cazuri de incidente relevante întâmplate în ultimele patru săptămâni, doar ca să complementăm și să ilustrăm un pic cât de sofisticat e acest peisaj”, a explicat Dan Cîmpean.

• În data de 20 august portalul web ccihunedoara.ro aparținând Camerei de Comerț și Industrie Hunedoara a fost compromis și infectat cu un program malițios de tip Remote Access Trojan respectiv WSH-RAT ce are capabilități de a executa cod arbitrar de la distanță (RCE), keylogging și exfiltrarea credențialelor salvate în browser, datele colectate fiind transmise pe un server de comandă și control (C2) găzduit în Suedia. „Noi, de exemplu, ca Directorat, nu intervenim direct în alt stat al UE, trebuie să ne coordonăm cu ei să ia măsuri să rezolvăm problema”, a explicat directorul general al DNSC.
• În data de 11 august, la nivelul UE, atacatorii cibernetici exploatează activ o vulnerabilitate de tip zero-day în utilitarul pentru arhivare WinRAR în atacurile asupra infrastructurilor IT&C – CVE-2025-8088 cu un scor de severitate de 8.0/10.0 este o vulnerabilitate de tip path-traversal ce afectează versiunile anterioare 7.13 și permite atacatorilor să execute cod arbitrar de la distanță (RCE) ca urmare a extragerii unui fișier dintr-o arhivă malițioasă capabilă să plaseze conținut în locații sensibile ale sistemului. Este vorba de gruparea de hacking RomCom alias Storm-0978, Tropical Scorpius / UNC2596, o grupare etichetată și asumată ca pro-Kremlin. În acest caz, producătorul soft-ului genreazaă un update de securitate, iar DNSC da mesaj de popularizare pentru actualizare.
• În data de 10 august, ora 15:30, infrastructura IT&C a companiei MCA Grup România a fost victima unui atac cibernetic de tip ransomware, ce a condus la criptarea a cinci severe Windows, exfiltrarea datelor și la întreruperea completă a operațiunilor de producție. Restabilirea serviciilor se efectuează prin repunerea backup-urilor din cloud.
• În data de 30 iulie, începând cu ora 14:20 portalurile web cdep.ro, gov.ro, mai.gov.ro, mapn.ro, mt.ro, presidency.ro, senat.ro, pmb.ro, afer.ro, baneasa-airport.ro, bilete.cfrcalatori.ro, cfr.ro, cfrcalatori.ro, cfrmarfa.com, gfr.ro, mersultrenurilor.infofer.ro, metrorex.ro, mfinante.gov.ro, timrailcargo.ro și astratranscarpatic.ro au fost vizate de o serie de atacuri cibernetice de tip Distributed-Denial-of-Service (DDoS) ce au condus la funcționarea cu intermitențe a acestora. În spate a fost gruparea de hacking NoName057(16) pro-rusă. Scopul este submintarea încrederii utilizatorilor în cei care gestionează aceste platforme, potrivit șefului DNSC.
• În data de 29 iulie a fost identificat domeniul amerorentandride.ro, care se ocupă cu închirierea de mașini, care redirecționa către domeniul compromis cnu.ro aparținând Companiei Naționale a Uraniului unde erau găzduite linkuri de phishing ce imitau imaginea mai multor bănci din Belgia. În acest caz, scopul era de a fura credențialele utilizatorilor, iar, în final, fraude financiare, a explicat Dan Cîmpean.

„Sunt intensificări ale activității malițioase asupra structurilor statale”

La întrebarea jurnaliștilor, Stelian Cristea, director adjunct al DNSC, a detaliat evoluția activităților actorilor statali.

„Actorii statali sunt îndeobște cunoscuți sau structurile de infracționalitate cibernetică tip APT (Advanced Persistent Threat – Amenințări persistente avansate), care sunt potențate de stat sunt cunoscute. Amenințările sunt permanente. Modul lor de operare și tehnicile, tacticile folosite de ei sunt în atenția noastră. N-aș putea intra în detalii privind un atac național întâmplat, dar asta nu înseamnă că nu trebuie să urmărim ce se întâmplă în jurul nostru și ce sunt ATP-urile pe care le folosesc actorii statali în a-și atinge scopurile de spionaj sau de perturbare a activităților instituțiilor statului”, a explicat Stelian Cristea, director adjunct al DNSC.

Oficialul a precizat că s-a remarcat o schimbare în evoluția atacurilor, care a fost generată și de conflictul de la graniță.

„Pot preciza, de exemplu, o intensificare a activităților actorilor statali în a monitoriza ce se întâmplă vizavi de sprijinul oferit Ucrainei de țările din Europa. Și a fost îndeobște descris și publicat și cunoscut acel atac asupra camerelor de supraveghere care monitorizau traversările de frontieră sau accesul în Ucraina pentru a cunoaște situația transporturilor către Ucraina”, a explicat Stelian Cristea.

Directorul adjunct al DNSC a confirmat, la întrebarea Mediafax, că se simte o intensificare a activității pe acest palier din partea unor IP-uri care provin din Rusia asupra României, odată cu conflictul din Ucraina.

„Evident sunt intensificări ale activității malițioase asupra structurilor statale și nu numai, și asupra companiilor. Sunt activități care, tehnic vorbind corespund tehnicilor și tacticilor pe care a APT-uri afiliate statului Federația Rusă pot fi asociate lor. Dar nu există o atribuire directă asupra acestui lucru, pentru că e dificil de atribuit atacurile unui anume stat. Dificultatea venind din complexitate identificării elementelor tehnice. Dacă putem știi cu corectitudine de unde atacurile vin, de la care IP-uri vin sau din de la care server revin, nu putem ști cine ce persoane sunt în spatele acelor IP-uri. Și atunci e foarte dificil în a lansa atribuiri fără un fundament și tehnic dar și politic”, a declarat directorul adjunct al DNSC.

Măsuri pentru creșterea securității cibernetice

Oficialii DNSC au detaliat cu ocazia conferinței de miercuri importanța implementării celei mai recente directive europene în domeniu, NIS2, la nivelul entităților vizate, pentru consolidarea capacității României de a răspunde acestor provocări.

Noua directivă extinde numărul de sectoare care trebuie să ia măsuri pe acest palier, potrivit directorului adjunct Gabriel Dinu.

În baza Ordonanței de urgență a Guvernului nr. 155/2024, care a transpus în legislația națională Directiva (UE) 2022/2555 (Directiva NIS2), entitățile încadrate ca esențiale sau importante au obligația de a realiza evaluări de risc, de a implementa măsuri de gestionare a riscurilor de securitate cibernetică și de a efectua autoevaluări privind nivelul de maturitate.

În plus, conducerea entităților are obligații directe în materie de securitate cibernetică, inclusiv privind raportarea incidentelor.

Sectoarele vizate de NIS2 includ: Energie, Transport, Bancar, Sănătate, Infrastructură digitală, Administrație publică, Servicii poștale, Alimentar, Spațiu, Gestionarea deșeurilor și ape uzate, Producție chimică, Furnizori digitali și Cercetare, conform anexelor actului normativ.

Potrivit directorului adjunct Gabriel Dinu, este vorba de aproximativ 5.000 de entități din România care sunt vizate de NIS2 și care au obligația de a transmite notificările până pe 22 septembrie 2025.

DNSC derulează în prezent procesul de înregistrare a entităților prin Instrumentul NIS, disponibil pe www.dnsc.ro, iar notificările trebuie trimise la adresa [email protected].

Potrivot oficialului, în situațiile în care există incertitudine privind încadrarea ca entitate esențială sau importantă, recomandă transmiterea notificării către DNSC, urmând ca instituția să comunice rezultatul analizei.

Perioada de analiză a dosarelor, pentru care a fost formată o echipă dedicată, este de 60 de zile pentru entitățile definite drept esențiale și 120 de zile, pentru cele importante.

În perspectivă, pentru cei care nu implementează cerințele obligatorii, pot fi aplicate amenzi care pot fi și de 2% din cifra de afaceri, dar se pot lua în calcul și eventuale circumstanțe agravante în momentul în care ies la iveală nereguli majore în gestionarea obligațiilor, cu impact semnificativ.