„(...) echipa CERT-RO a demarat o investigație în scopul alertării și sprijinirii cu informații ajutătoare potențialilor utilizatori victimă din România. Inițial, au fost analizate informațiile disponibile din surse deschise puse la dispoziție de către companiile de securitate informatică care au analizat deja cazul și au publicat serverele afectate de noua variantă a CTB-Locker. În plus, au fost efectuate o serie de verificări suplimentare utilizând căutări personalizate în Internet în scopul identificării altor servere afectate de către CTB-Locker. Lista centralizată a serverelor afectate a fost verificată îndeaproape de către specialiștii CERT-RO în vederea determinării adreselor IP, respectiv domeniilor înregistrate în România și dacă s-a luat vreo măsură în vederea remedierii problemei (au plătit suma, au făcut restore sau nu au făcut nimic). În urma investigației derulate, echipa CERT-RO a identificat un număr de 4 domenii ".ro" afectate, dintr-un total de peste 100 de cazuri detectate la nivel internațional”, se menționează în comunicarea de specialitate.
Potrivit specialiștilor, CTB Locker, cunoscut și sub numele de Critroni, reprezintă un software malițios, de tip ransomware, al cărui scop este de a cripta fișierele stocate pe sistemul afectat. Acesta a fost lansat la jumătatea lunii iulie a anului 2014 și vizează toate versiunile de Windows, inclusiv Windows XP, Windows Vista, Windows 7 și Windows 8.
Amenințarea vizează serverele web este criptarea conținutului acestora și revendicarea unei sume echivalente a mai puțin de jumătate de Bitcoin (0,4 Bitcoin echivalentul a 150 de dolari americani) pentru recuperarea datelor într-un termen limită prestabilit.
„Dacă termenul limită este depășit, suma pentru decriptarea datelor se dublează. În mesajul care conține detaliile referitoare la ce modificări a suferit site-ul în urma infectării acestuia cu ransomware-ul CTB-Locker, atacatorul include link-uri către articole și tutoriale pentru creșterea credibilității mesajului, implicit pentru facilitarea modalității de plată a răscumpărării datelor. În momentul de față, încă nu se știe exact modul în care ransomware-ul CTB-Locker își alege serverele victimă din Internet, dar din analiza serverelor infectate de către specialiștii companiilor de securitate informatică, un lucru este cert: foarte multe dintre acestea utilizau platforma pentru administrarea conținutului (CMS) WordPress”, susține CERT-RO.
Platforma WordPress este cunoscută pentru multiplele vulnerabilități pe care le-a avut în anii trecuți și, mai mult decât atât, plugin-urile care pot fi importate în aceasta reprezintă o altă sursă importantă de posibile vulnerabilități care pot fi exploatate de către atacatorii din mediul cibernetic.
Recomandarea CERT-RO este să nu se plătească recompensa solicitată de către atacatori, existând riscul să nu fie redobândit accesul la fișierele criptate nici după achitarea sumei de bani.
Pentru a minimaliza impactul daunelor ce pot fi cauzate de CTB-Locker, experții recomandă ca, la un interval regulat de timp, să efectuați următoarele operațiuni: backup-ul datelor pe un alt terminal de stocare, actualizarea frecventă a software-urilor utilizate, dar și a plugin-urilor, monitorizarea, în mod continuu, a funcționalității serverului web cu ajutorul diferitelor soluții de securitate disponibile în acest sens.
CERT-RO se află în subordinea Ministerului Comunicațiilor și pentru Societatea Informațională (MCSI) și reprezintă un punct național de contact cu structurile de tip similar, analizând disfuncționalitățile procedurale și tehnice la nivelul infrastructurilor cibernetice.