Skip links
detecție şi răspuns la amenințări cibernetice

Analiză și recomandări in urma gestionarii de catre Safetech Innovations a unor incidente critice de securitate cibernetică

Author
Published on:
Published in: Noutăți din tehnologie

Analiză și recomandări in urma gestionarii de catre Safetech Innovations a unor incidente critice de securitate cibernetică

Incidentele de securitate cibernetică au încetat să mai fie evenimente rare sau excepționale, devenind parte a realității operaționale a organizațiilor, indiferent de industrie sau dimensiune. Creșterea gradului de digitalizare, extinderea accesului remote, migrarea către servicii cloud și presiunea constantă asupra echipelor IT creează un context în care suprafața de atac se extinde continuu, iar erorile – umane sau tehnice – sunt inevitabile.

În 2024, peisajul amenințărilor cibernetice din România a devenit mai agresiv, trend confirmat, de altfel și în 2025. Datele DNSC arată o explozie a malware-ului (+286,8%) și o creștere a atacurilor ransomware vizând în principal persoane juridice. De asemenea, au crescut fraudele informatice (+40.2%) atacurile brute-force (+30%) și incidentele de tip cont compromis, ceea ce semnalează o intensificare a atacurilor automate. Totodată, atacurile asupra lanțului de aprovizionare (inclusiv de tipul Advanced Persistent Threat) vizează tot mai frecvent angajații cu privilegii extinse.

Cele trei incidente analizate în acest articol – două atacuri ransomware (unul clasic și unul fileless) și un caz de exfiltrare de date realizată de un fost angajat – sunt diferite ca vector de atac, complexitate și impact imediat. Totuși, privite împreună, ele conturează o imagine clară asupra tipurilor de riscuri cu care se confruntă organizațiile moderne, asupra condițiilor care fac posibile aceste incidente și asupra importanței unui răspuns profesionist, documentat și etic.

Incidente de securitate analizate în articol

1 – Atac ransomware asupra infrastructurii de autentificare și acces remote

Incidentul a constat într-un atac de tip ransomware, descoperit inițial ca urmare a sesizărilor venite din partea utilizatorilor, care au raportat imposibilitatea accesării resurselor interne și probleme de autentificare. În urma acestor semnalări, s-a constatat afectarea infrastructurii de autentificare (Active Directory), precum și a serviciilor de acces la distanță (VPN). Incidentul a fost identificat la aproximativ o zi după compromiterea inițială.

2 – Exfiltrare de date realizată de un fost angajat (insider threat)

Incidentul a vizat o acțiune de exfiltrare a datelor, realizată de un fost angajat, cu impact direct asupra confidențialității informațiilor companiei. Punctul de pornire al investigației a fost o suspiciune ridicată de conducerea organizației, apărută la scurt timp după demisia unui angajat care avusese acces la informații sensibile, existând premisele unei exfiltrări realizate înainte de încetarea relațiilor contractuale.

3 – Atac ransomware fileless cu impact operațional major

Incidentul a fost un atac ransomware de tip fileless, descoperit de departamentul IT ca urmare a unor disfuncționalități majore în activitatea operațională. Au fost afectate infrastructura Active Directory, stațiile de lucru utilizate la casele de marcat, precum și sisteme aparținând departamentelor financiar și IT. Incidentul a fost identificat la aproximativ două zile după compromitere.

incidente critice de securitate, incident de securitate

 

În toate aceste cazuri, companiile afectate au contactat Safetech Innovations pentru a asigura o investigație specializată și un răspuns coordonat la incident, capabil să limiteze impactul și să identifice cauzele reale ale compromiterii.

Rolul echipei Safetech Innovations nu s-a limitat la intervenția tehnică, ci a acoperit întregul ciclu de gestionare a incidentului: detecție, limitarea propagării, investigație forensic, identificarea cauzelor reale și implementarea măsurilor de prevenție a unor incidente similare.

Tipuri de incidente și riscurile asociate

Statisticile privind incidența tipurilor de atacuri diferă mult de la o regiune la alta. Spre exemplu, printre cele mai frecvente incidente mitigate de companiile din Top 250 MSSP publicat de MSSP Alert, în care este inclus și Safetech Innovations, se află phishing-ul prin e-mail (96%) exploatarea vulnerabilităților (94%) ransomware (92%) scurgerile de date și atacuri brute force, raportate de 85%, respectiv 80% dintre furnizorii de servicii gestionate.

Cele trei cazuri pe care le analizăm ilustrează trei categorii majore de amenințări cibernetice:

1. Atacuri ransomware cu impact asupra disponibilității, așa cum s-a întâmplat în primul și al treilea incident, unde componente critice de infrastructura precum Active Directory, VPN-ul sau stațiile operaționale au fost afectate.

2. Amenințări interne (insider threat), exemplificate de al doilea incident, în care un angajat a exfiltrat date sensibile.

3. Atacuri avansate, greu de detectat, precum ransomware-ul fileless, care nu lasă urme clasice pe disc și se bazează pe instrumente legitime ale sistemului de operare.

Riscurile generate de astfel de incidente depășesc zona tehnică. Ele includ pierderi financiare directe (de exemplu, indisponibilizarea caselor de marcat în incidentul 3), afectarea reputației, riscuri legale și de conformitate, dar și pierderea încrederii clienților și partenerilor.

Contextul descoperirii: de la semnale slabe la disfuncționalități majore

Un element comun celor trei incidente de securitate este faptul că descoperirea nu a fost rezultatul unei detecții automate imediate, ci al unor semnale operaționale sau suspiciuni umane.

În primul incident, atacul ransomware a fost observat abia când utilizatorii nu s-au mai putut autentifica și accesa resursele interne. În al treilea caz, disfuncționalitățile majore din activitatea zilnică au determinat departamentul IT să suspecteze un atac complex. În cel de-al doilea incident, suspiciunea a venit din zona de management, pe fondul demisiei recente și al accesului anterior la informații sensibile.

Acest context subliniază o realitate inconfortabilă: multe organizații află că au fost compromise după ce impactul devine vizibil, nu în faza inițială a atacului. Lipsa monitorizării continue, a corelării avansate a logurilor sau a unor procese mature de detecție timpurie creează ferestre de timp în care atacatorii pot acționa nestingheriți.

De exemplu, potrivit raportului Cost of a Data Breach Report 2025 realizat de Ponemon Institute pentru IBM, durata medie necesară organizațiilor pentru a identifica și a conține o breșă de securitate este de 241 de zile. În schimb, în cazul organizațiilor care utilizează capabilități avansate de threat intelligence și automatizare, acest interval se reduce semnificativ, cu până la 28 de zile. Același raport evidențiază și o corelație directă între timpul de identificare și de remediere a unei breșe și costul total generat de aceasta: cu cât un incident este detectat și limitat mai rapid, cu atât impactul financiar asupra organizației este considerabil mai mic.

Ce a făcut posibile aceste incidente?

Analiza unitară a celor trei cazuri indică un set de factori favorizanți recurenți:

Factorul uman, fie sub forma phishing-ului (incidentul 1), fie sub forma unui angajat nemulțumit sau necontrolat corespunzător la offboarding (incidentul 2).

Controale de securitate insuficient de mature, inclusiv lipsa unor politici eficiente de DLP, patch management incomplet sau monitorizare limitată a accesului remote.

Încrederea excesivă în infrastructura existentă, fără reevaluări periodice ale riscurilor, mai ales în contextul schimbărilor organizaționale sau tehnologice.

Atacuri care exploatează legitimitatea, cum a fost folosirea unui domeniu compromis al unei instituții legitime în atacul fileless din incidentul 3, îngreunând detecția.

Niciunul dintre aceste incidente nu a fost rezultatul unei singure greșeli. Ele au apărut la intersecția dintre oameni, procese și tehnologie.

Rolul Safetech în detecție și în limitarea impactului

În toate cele trei situații, intervenția Safetech Innovations a urmat o abordare structurată și proporțională cu gravitatea incidentului. Primele măsuri au vizat limitarea propagării și stabilizarea infrastructurii, prin izolarea sistemelor afectate, restricționarea temporară a accesului VPN sau suspendarea anumitor servicii critice.

Un aspect esențial a fost evitarea acțiunilor impulsive care ar fi putut distruge probe sau agrava situația. De exemplu, în cazul insider threat, stația de lucru a fost izolată fără a fi alterată, pentru a permite o analiză forensic validă din punct de vedere juridic.

Această etapă de „containment” este adesea subestimată, dar ea face diferența dintre un incident controlat și unul care escaladează rapid.

Investigația: ce s-a analizat și ce s-a descoperit?

Investigațiile realizate de echipa Safetech au combinat analiza tehnică de detaliu cu respectarea standardelor etice și legale.

În incidentele ransomware, au fost analizate logurile VPN, evenimentele din Active Directory, artefactele locale și mecanismele de persistență. În primul caz, investigația a indicat un lanț clasic phishing – compromitere credențiale – execuție ransomware. În al treilea, complexitatea a fost mai mare, atacul fiind fileless și livrat printr-un domeniu aparent legitim.

În cazul exfiltrării de date, investigația a fost una cu potențial juridic, desfășurată cu respectarea strictă a principiilor de chain of custody. Analiza logurilor Office 365, a utilizării dispozitivelor USB și a transferurilor SFTP a confirmat exfiltrarea unor informații sensibile.

Remediere și revenire controlată

Remedierea nu s-a rezumat la „curățarea” sistemelor. În toate cazurile, aceasta a presupus restaurarea din backup-uri sigure, resetarea credențialelor compromise, validarea integrității infrastructurii și reluarea operațiunilor într-un mod controlat.

Un principiu comun aplicat de Safetech a fost acela că revenirea rapidă nu trebuie să compromită securitatea. Este mai bine să se efectueze o reluare graduală și verificată, decât o repornire în grabă, care lasă atacatorului uși deschise.

Cele trei incidente au generat un set coerent de îmbunătățiri pentru prevenirea repetării:

• politici mai stricte de patch management și hardening;

• implementarea sau consolidarea soluțiilor DLP;

• revizuirea procedurilor de offboarding;

• monitorizare continuă și corelare avansată a evenimentelor;

• programe de awareness și training pentru utilizatori.

Aceste măsuri nu au fost însă propuse punctual, ci parte a unui proces continuu de creștere a maturității de securitate.

Concluzii și recomandări

Privite împreună, cele trei incidente demonstrează că securitatea cibernetică nu este un produs, ci un proces. Atacurile diferă, dar lecțiile sunt aceleași: prevenția, detecția timpurie și răspunsul profesionist sunt esențiale.

Organizațiile trebuie să accepte că incidentele pot apărea, dar modul în care sunt gestionate face diferența între o criză majoră și un eveniment controlabil. Implicarea unei echipe specializate, precum Safetech Innovations, asigură nu doar rezolvarea tehnică a problemei, ci și înțelegerea profundă a cauzelor și transformarea unui incident într-o oportunitate de consolidare a rezilienței cibernetice, cerută inclusiv de reglementări actuale ca Directiva NIS2.

Pentru mai multe informații despre serviciile Safetech Innovations de detecție și răspuns la incidente de securitate cibernetică, precum și de analiză avansată pentru incidente critice de securitate, ne puteți contacta la adresa sales @ safetech.ro sau telefonic, la +40 21 316 0565.

Powered by  GDPR Cookie Compliance
Prezentare generală a confidențialității

Acest site folosește cookie-uri pentru a-ți putea oferi cea mai bună experiență în utilizare. Informațiile cookie sunt stocate în browser-ul tău și au rolul de a te recunoaște când te întorci pe site-ul nostru și de a ajuta echipa noastră să înțeleagă care sunt secțiunile sitului pe care le găsești mai interesante și mai utile.
Pentru mai multe informatii poti consulta Nota de Informare Generală privind prelucrarea datelor cu caracter personal.