askformore@bittnet.ro
Clase Programate

Atac ransomware prin reclame false Microsoft Teams descoperit recent

Ce este Rhysida si cum actioneaza?

Un nou tip de atac de tip ransomware, denumit Rhysida, a fost recent identificat de cercetatorii in securitate informatica. Acest atac sofisticat exploateaza un vector de acces inselator prin utilizarea reclamelor false care simuleaza pagini de descarcare pentru Microsoft Teams.

Campania a fost raportata pentru prima data de analistii de la Trend Micro, care au observat o crestere semnificativa a incidentelor in care utilizatorii au fost pacaliti sa descarce fisiere rau intentionate, crezand ca instaleaza aplicatia Microsoft Teams. In realitate, victimelor le este oferit un troian care deschide cale libera catre instalarea ransomware-ului Rhysida.

Modul de atac: De la reclama falsa la criptare de fisiere

Atacul Rhysida foloseste o metoda clasica de inginerie sociala, dar o implementeaza intr-un stil modern, cu reclame promovate in motoarele de cautare. Atacul urmeaza un traseu distinct:

  1. Utilizatorii cauta aplicatia Microsoft Teams pe Google sau alte motoare de cautare.
  2. Acestia sunt directionati catre un website fake, promovat prin reclame sponsorizate.
  3. Pagina falsa imita identic site-ul original Microsoft, prezentand o optiune de “Download Teams”.
  4. Descarcand executabilul, utilizatorii instaleaza in realitate un troian de acces initial, cum ar fi Cobalt Strike sau alte unelte similare.
  5. Dupa compromiterea initiala, atacatorii lanseaza ransomware-ul Rhysida care cripteaza fisierele victimei.

Important de mentionat este faptul ca Rhysida este un ransomware operat manual, ceea ce inseamna ca atacatorii analizeaza fiecare tinta individual si isi ajusteaza comportamentul in functie de infrastructura victimei.

Ce este ransomware-ul Rhysida?

Rhysida este un ransomware relativ nou pe scena globala, dar a devenit rapid cunoscut in comunitatea de securitate cibernetica datorita metodelor agresive si a tintelor de profil inalt. A fost observat tinand sub control:

  • Institutiile guvernamentale
  • Organizatii din sanatate
  • Companii private de infrastructura critica

Ransomware-ul cripteaza fisierele folosind un algoritm avansat de criptare, adaugand extensia “.rhysida” si lasand o nota de rascumparare cu instructiuni clare pentru decryptare. Atacatorii cer in mod obisnuit plati in criptomonede.

Cum se propaga atacul: Reclame malitioase in motoarele de cautare

Una dintre caracteristicile unice ale atacului este procesul de raspandire prin reclame sponsorizate. Acest tip de atac este cunoscut sub numele de SEO poisoning sau malvertising. Atacatorii platesc pentru a promova link-uri malitioase prin diverse platforme de publicitate, inclusive Google Ads.

Motivul pentru care tacticile de tip malvertising sunt eficiente:

  • Utilizatorii au incredere in rezultatele promovate si le acceseaza fara dubii.
  • Majoritatea utilizatorilor nu verifica adresa URL in browser.
  • Pagini web malitioase sunt foarte bine imitate, aproape imposibil de deosebit fata de cele oficiale.

Instrumentele utilizate in atac

Odata descarcat, executabilul facilita instalarea initiala a unor unelte de tip remote control sau dropper:

  • Cobalt Strike – unealta de testare penetrare folosita abuziv de atacatori
  • PowerShell backdoor – comenzi ascunse transmise prin PowerShell pentru a mentine accesul la sistemul victimei
  • Instrumente de miscare laterala – atacatorii isi extind accesul in retea, compromitand cat mai multe sisteme inainte de a lansa ransomware-ul

Masuri de protectie si detectie impotriva Rhysida

Desi acest atac este extrem de bine realizat, companiile si utilizatorii individuali se pot proteja adoptand o serie de masuri preventive, inclusiv:

1. Verificare URL si descarcari

  • Acceseaza URL-uri oficiale, cum ar fi microsoft.com
  • Evita link-urile promovate sau sponsorizate pentru software
  • Foloseste un browser care avertizeaza asupra site-urilor suspecte

2. Solutii de securitate avansata

  • Instalarea unui antivirus de ultima generatie cu functie de detectie comportamentala (EDR/XDR)
  • Utilizarea de sisteme de filtrare DNS care blocheaza incarcarea domeniilor rau intentionate

3. Educatie si training pentru angajati

Majoritatea atacurilor se bazeaza pe greseli umane. Prin urmare:

  • Organizati sesiuni regulate de training in securitate cibernetica
  • Simulati atacuri si scenarii de tip phishing
  • Utilizati metode de testare a vigilentei angajatilor

4. Restrictii in campaniile de publicitate

  • Solicitarea platformelor ca Google Ads sa implementeze sisteme mai stricte de verificare pentru reclamele legate de software
  • Crearea unor liste negre pentru domeniile suspecte

Reactia Microsoft si implicatiile globale

Desi Microsoft nu are o vina directa in acest incident, compania monitorizeaza constant astfel de campanii. Echipele lor de securitate colaboreaza cu motoarele de cautare si platformele de publicitate pentru a reduce riscurile. Cu toate acestea, responsabilitatea principala ramane in sarcina utilizatorului final.

La nivel global, Rhysida a fost observat atacand diverse entitati in:

  • America de Nord si Europa
  • Asia-Pacific (APAC)
  • America de Sud

Suferintele provocate de atacuri ca Rhysida subliniaza importanta unui sistem robust de securitate in mai multe straturi.

Concluzie: Cum sa te protejezi in 2025 de noile campanii ransomware

Rhysida aduce un nou nivel de amenintare in peisajul ransomware din 2025, folosind metode actualizate si campanii bine targetate de malvertising. Este esential pentru orice companie si individ sa tina cont de urmatoarele directive:

  1. Evita reclamele sponsorizate pentru software-uri populare
  2. Verifica URL-ul oricarui site inainte de a descarca software
  3. Foloseste solutii moderne de protectie si backup
  4. Invata continuu despre amenintarile actuale din peisajul digital

Cu siguranta ai inteles care sunt noutatile din 2025 legate de securitate cibernetica, daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri dedicate securitatii cibernetice din categoria Cybersecurity. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.