Potrivit datelor publicate de SRI în buletinul semestrial privind securitatea cibernetică, statisticile arată că în prima lună a anului 2020 s-au înregistrat la nivel naţional 6291 activităţi de phishing, în luna februarie au fost 1609 astfel de infracţiuni, pentru ca debutul epidemiei în România să coincidă cu o scădere semnificativă. Astfel, în martie au fost constatate 243 activităţi de fraudă informatică, în aprilie numărul acestora a scăzut la 156, trendul s-a menţinut şi în luna mai când au fost 157 de fapte de phishing pentru ca numărul acţiunilor de tipul fraudelor online să explodeze în iunie 2002, când s-au înregistrat 26.774 astfel de fapte.
Din punctul de vedere al tipului de atacuri informatice, peste o treime, respectiv 33,7% dintre atacurile informatice din primul semestru al anului au avut la bază un virus de tip troian, peste 30% au fost de genul infostealer, peste 23% au fost de tipul exploit iar restul au fost atacuri informatice backdoor, tool sau worm.
Pandemia de COVID-19 care a dus la creşterea numărului utilizatorilor şi a frecvenţei folosirii spaţiului online a fost folosită de către hackeri pentru obţinerea de informaţii dar şi de profituri financiare.
„O serie de actori cibernetici au considerat contextul oportun pentru a derula activităţi ilegale de obţinere a datelor cu caracter personal sau beneficii financiare. Printre modalităţile de acţiune utilizate frecvent se numără: dezvoltarea unor aplicaţii aparent legitime, care prin utilizare infectau dispozitivele mobile cu malware; impersonarea unor aplicaţii oficiale, astfel încât prin accesarea acestora să se realizeze infectarea dispozitivului”, informează SRI în documentul citat.
În acest context a fost dezvoltată COVID 19 Tracker, o aplicaţie pentru terminalele mobile care rulează sistemul de operare Android.
„Aceasta conţine un malware de tip ransomware, CovidLock, care deţine capabilităţi de blocare a ecranului dispozitivului şi de criptare a fişierelor existente pe acesta. În schimbul deblocării / redobândirii accesului se solicită în termen de 48 de ore, suma de 0.011BTC (aproximativ 100$). În cazul neplăţii, atacatorul cibernetic ameninţă utilizatorul prin ştergerea datelor stocate pe dispozitiv (fişiere multimedia, agendă telefonică etc.) şi prin expunerea datelor personale în mediul online (credenţiale, conturi utilizate în social media etc.). Funcţionalitatea aparent legitimă a aplicaţiei vizează informarea utilizatorilor cu privire la posibile persoane infectate prezente în zona în care se află dispozitivul mobil. Odată deschisă aplicaţia, aceasta afişează două mesaje, prin care se cere permisiunea utilizatorilor de a primi alerte de la aplicaţie cât timp ecranul este blocat şi permisiunea de a oferi aplicaţiei acces în funcţia de Accesibilitate a device-ului pentru monitorizarea activă a statisticilor. În realitate, utilizatorul oferă atacatorului rolul de administrator al dispozitivului, fiind iniţiate automat operaţiile de blocare a ecranului şi criptare a fişierelor stocate” mai transmite SRI.
CovidLock a utilizat tactici, tehnici şi proceduri: Drive-by Compromise T1 (T1456) care presupune obţinerea accesului pe un dispozitiv prin accesarea unui website nelegitim; App Auto-Start Device Boot (T140) care asigură activarea funcţiilor unei aplicaţii mobile odată cu pornirea dispozitivului, fără să fie nevoie de accesarea acesteia de către utilizator, Device Lockout (T1446) – presupune indisponibilizarea dispozitivelor pentru o perioadă determinată de timp.
În plus, ransomware-ul CovidLock realiza interogări Domain Name Server (DNS), prin care se făceau trimiteri la două link-uri asociate platformei Pastebin (https://pastebin[.] com/zg6rz6qT şi https://pastebin[.]com/ GK8qrfaC ). În cadrul acestora se regăseau instrucţiunile pentru realizarea plăţii.
Experţii în securitate cibernetică au publicat cheia necesară decriptării („4865083501”) pe mai multe site-uri de specialitate.
„Contextul social actual a demonstrat încă o dată faptul că securizarea dispozitivelor şi aplicaţiilor mobile reprezintă o necesitate prin prisma evoluţiilor de la nivelul spaţiului cibernetic. În această perioadă, atacatorii cibernetici au exploatat deficienţele unor dispozitive devenite vulnerabile, atât din cauza factorului tehnologic, dar mai ales din cauza celui uman” mai notează SRI.