Cum poate fura un hacker contabilitatea unei firme. Cazul patronului care a fost nevoit să negocieze
0Un administrator de firmă a fost nevoit să plătească sute de dolari în bitcoin unui hacker care i-a furat toate datele din contabilitatea firmei. Anchetatorii români nu l-au putut identifica pe infractor.
Incidentul a avut loc în 2 februarie 2022, iar peste un an, în 1 martie 2023, justiția a închis dosarul pentru că anchetatorii nu au reușit să îl identifice pe infractorul cibernetic.
În plângerea depusă la DIICOT, reprezentantul societății din Sibiu a precizat că persoane necunoscute au criptat toate datele aflate pe serverul societății, care nu au mai putut fi accesate. Polițiștii de la „Crimă Organizată” au efectuat verificări și investigații și au analizat fișierele criptate și mesajul de răscumpărare. S-a constatat că fișierele au fost infectate cu virusul ce poartă denumirea de „Phobos”.
„La fel ca majoritatea programelor de acest tip, virusul blochează accesul la fișiere prin criptare, schimbă numele fișierelor și oferă victimelor instrucțiuni despre cum să-și recupereze fișierele. Acest ransomware redenumește toate fișierele criptate adăugând ID-ul victimei, adresa de e-mail a dezvoltatorului și adăugând extensia.hta la numele fișierelor. Victimele primesc două mesaje de răscumpărare: unul într-o fereastră pop-up (fișier info.hta) și altul într-un fișier text numit info.txt.
Fișierul info.txt conține o adresă de e-mail care ar trebui folosită pentru a contacta criminalii cibernetici iar fereastra info.hta conține un mesaj de răscumpărare mai detaliat, care afirmă că e-mailul trebuie să includă ID-ul desemnat și poate conține până la cinci atașamente (fișiere criptate) pe care criminalii cibernetici le vor decripta gratuit”, astfel este descries modul în care acționează acest virus.
Pentru a restaura fișierele rămase, victimele trebuie să folosească un instrument de decriptare, care trebuie achiziționat în schimbul unei sume de bani. Răscumpărarea trebuie plătită în Bitcoin iar încercarea de a redenumi fișierele criptate sau încercarea de a le decripta cu alt software poate cauza pierderea permanentă a datelor.
În final, reprezentanții firmei au fost de acord să discute cu hackerul. Astfel, în perioada 4 februarie – 6 februarie 2022, reprezentanții companiei au negociat cu atacatorii prin intermediul unei adrese de mail și au convenit că pentru obținerea cheii de decriptare să plătească suma de 600 de dolari în Bitcoin. Ulterior, atacatorul i-a furnizat cheia de decriptare și i-a indicat modalitatea de recuperare a datelor informatice criptate.