Directiva Network and Information Security 2/NIS2 este o lege europeană revizuită, ale cărei măsuri se aplică din 1 ianuarie 2025, cu scopul principal de a consolida securitatea cibernetică în statele membre ale UE și de a îmbunătăți protecția infrastructurii esențiale și a întreprinderilor importante. NIS2 extinde semnificativ domeniul de aplicare al directivei NIS anterioare. Aceasta acoperă acum o gamă mai largă de sectoare, inclusiv sănătate, energie, transport, gestionarea deșeurilor și a apei, precum și servicii financiare și digitale, cum ar fi furnizori de servicii cloud și piețele online. În sectorul manufacturier, Directiva NIS2 vizează, printre altele, producătorii de dispozitive medicale, echipamente industriale, dispozitive electronice, vehicule și alte mijloace de transport.

Scopul principal al acestor sesiuni este de a sprijini organizațiile să se adapteze la noile cerințe și să îmbunătățească rezistența în fața atacurilor cibernetice. În contextul actual, cu amenințări cibernetice. În contextul actual, cu amenințări cibernetice tot mai complexe, aceste întâlniri sunt esențiale pentru a oferi informații, instruire și pentru a facilita comunicarea între sectorul public și cel privat.

Pentru a se conforma cerințelor Directivei NIS2, organizațiile ar trebui să:

• Identifice și să înregistreze incidentele de securitate;
• Elaboreze proceduri de răspuns la incidente și planuri de recuperare în caz de incidente;
• Realizeze o analiză cuprinzătoare a riscurilor;
• Implementeze un set adecvat de măsuri de securitate;
• Numească un manager de securitate cibernetică și o persoană responsabilă cu primirea și înregistrarea rapoartelor;
• Asigure instruirea regulată a angajaților pe tema securității cibernetice.

Sesiunile de lucru vor avea un caracter practic, oferind o imagine clară asupra modului în care trebuie aplicate cerințele Ordonanței de Urgență nr. 155/2024. Vor fi explicate obligațiile legale pentru entitățile esențiale și importante, cu accent pe aspecte precum:

• Guvernanța securității cibernetice: ansamblul de structuri, politici, procese și responsabilități prin care organizațiile sau statele definesc, implementează și monitorizează strategiile de protecție împotriva amenințărilor cibernetice. Implică coordonarea între autorități, instituții și operatori pentru a asigura reziliența rețelelor și sistemelor informatice esențiale;
• Managementul riscurilor: procesul sistematic de identificare, evaluare, prioritizare și tratare a riscurilor asociate amenințărilor cibernetice asupra sistemelor informatice, datelor și operațiunilor unei organizații. Vizează minimizarea impactului potențial prin alocarea eficientă a resurselor și implementarea măsurilor proactive;
• Măsuri tehnice și organizatorice: componente esențiale în guvernanța și managementul riscurilor cibernetice, asigurând protecția sistemelor informatice împotriva amenințărilor;
• Notificarea și gestionarea incidentelor: procese obligatorii prin care operatorii raportează rapid amenințările către autorități pentru coordonare și remediere.

Participanții vor avea ocazia să împărtășească experiențe și bune practici, contribuind la o abordare unitară a securității cibernetice, în conformitate cu standardele europene. Vor fi organizate și exerciții practice pentru a ajuta participanții să înțeleagă cum se aplică cerințele NIS2 în situații reale. Aceste activități sunt dezvoltate în colaborare cu experți ai DNSC și cu sprijinul ENISA, Agenția Uniunii Europene pentru Securitate Cibernetică.

Sesiunile de lucru vor avea loc în lunile februarie și martie, în mai multe orașe din țară: Brașov, București și Iași. Vor fi abordate teme specifice pentru diverse sectoare, cum ar fi: sănătate, transporturi, administrație publică, infrastructură digitală și servicii ICT, industria prelucrătoare, sectorul apei și alte domenii de importanță strategică.

Participarea la aceste sesiuni este gratuită. DNSC susține că aceste evenimente reflectă angajamentul instituției de a sprijini organizațiile afectate de Directiva NIS2 în procesul de conformare și de consolidare a capacității lor de a face față amenințărilor cibernetice. Locurile sunt limitate, iar accesul se face pe bază de înscriere.

Programul poate fi regăsit pe website-ul DNSC, iar înscrierea poate fi realizată prin accesarea link-ului: https://ec.europa.eu/eusurvey/runner/DNSC_NIS2_Workshop2026

Calendarul sesiunilor:
27.01.2026 – 28.01.2026       Fabricare         Cluj  
29.01.2026 – 30.01.2026       Apă                 Cluj
17.02.2026 – 18.02.2026       Poștă și curierat București
19.02.2026 – 20.02.2026       Administrație publică București
02.03.2026 – 03.03.2026       Energie București
02.03.2026 – 03.03.2026       Sănătate Brașov
09.03.2026 – 10.03.2026       Administrație publică (management) București
10.03.2026 – 11.03.2026       Transport       București
12.03.2026 – 13.03.2026       Mixt București
17.03.2026 – 18.03.2026       Fabricare Iași
19.03.2026 – 20.03.2026       Apă Iași
23.03.2026 – 24.03.2026       Administrație publică București
23.03.2026 – 23.03.2026       Exercițiu mixt pentru toate sectoarele București
24.03.2026 – 24.03.2026       Exercițiu pentru sectorul energie București
26.03.2026 – 27.03.2026       Infrastructură digital & ICT București

The post DNSC ajută companiile și instituțiile să aplice Directiva NIS2 appeared first on Security Patch.

Dacă analizăm textul primit, vedem imediat semnele de alarmă:

• Link-ul suspect: frlix [.] com/ro nu are nicio legătură cu site-ul oficial sameday.ro. Atacatorii folosesc domenii scurte și obscure pentru a ascunde destinația reală.
• Urgența falsă: „Taxă de depozitare după 12 ore”. Te presează să acționezi rapid, fără să gândești critic.
• Greșeli de punctuație/topică: De multe ori, aceste mesaje sunt traduse automat.

Ce se întâmplă dacă „pici în plasă”? 

Iată traseul victimei, de la un simplu click la pierderea banilor:

Faza 1: Pagina de Phishing (Clonarea)

După ce dai click, ești trimis pe o pagină care arată identic cu site-ul Sameday. Culori, logo-uri, fonturi – totul pare real.

• Ce vor de la tine: Îți vor cere să „confirmi” adresa de livrare.
• Scopul: Validarea datelor tale personale (nume, prenume, telefon).

Faza 2: „Taxa de livrare” (Momeala)

După ce introduci adresa, ți se va spune că pentru re-livrare trebuie să plătești o sumă modică (5-15 RON).

• De ce o sumă mică? Pentru că nu ridică suspiciuni. Oricine e dispus să dea 10 lei ca să primească un colet „pierdut”.

Faza 3: Furtul datelor de card

Aici apare formularul de plată. Atenție! Acesta nu este un procesator de plăți legitim.

• Ce colectează: Numărul cardului, data expirării și codul CVV (cele 3 cifre de pe spate).
• Ce se întâmplă în spate: Atacatorul primește aceste date în timp real și încearcă să înroleze cardul tău într-un portofel digital (Apple Pay/Google Pay) sau să facă o achiziție mai mare.

Faza 4: Lovitura finală – Codul SMS / OTP

Pentru a finaliza „plata de 11 lei”, vei primi un cod prin SMS de la banca ta.

• Eroarea fatală: Victima introduce codul pe site-ul fals, crezând că autorizează plata de 11 lei. În realitate, acel cod autorizează fie o tranzacție de mii de lei, fie înrolarea cardului pe telefonul atacatorului.

Ghid de supraviețuire: Ce faci dacă ai dat deja datele?

Dacă ai realizat prea târziu că ai fost victima unui scam, urmează acești pași imediat:

1. Blochează cardul: Intră în aplicația de Mobile Banking și îngheață/blochează cardul imediat.
2. Sună la bancă: Explică-le situația. Ei pot anula tranzacțiile care sunt încă „în așteptare”.
3. Schimbă parolele: Dacă ai creat un cont pe acel site fals folosind o parolă pe care o mai folosești și în altă parte, schimb-o peste tot.
4. Raportează: Trimite screenshot-ul către Directoratul Național de Securitate Cibernetică (DNSC).

Sfaturi pentru cititori (Tips & Tricks)

• Verifică AWB-ul: Dacă aștepți un colet, intră manual pe site-ul oficial al curierului și introdu codul de urmărire acolo. Nu prin link-uri din SMS.
• Gramatica contează: Companiile mari nu trimit mesaje agramate.
• Regula de aur: Niciun curier nu îți va cere datele cardului prin SMS pentru o adresă greșită. Plata se face de obicei ramburs sau prin link-uri securizate de plată generate la momentul comenzii inițiale.

Articol și analiză realizată de Patrick Rorix

The post Analiza unui Scam: “Pachetul tău a fost returnat” appeared first on Security Patch.

Pe parcursul anului 2025 au fost identificate numeroase campanii utilizatorii WhatsApp și Signal:

Afectarea aplicației de mesagerie Signal de către mai mulți actori malițioși afiliați Rusiei, care au profitat de funcția „dispozitive conectate” pentru a deturna conturile utilizatorilor vizați;

Cercetătorii de la Google Threat Intelligence (GTIG) au observat o serie de campanii de spionaj cibernetic, în mare parte conduse de grupuri de hackeri aliniați Rusiei, care vizează utilizatorii Signal. Atacatorii abuzează de funcția legitimă „dispozitive conectate” a Signal – care permite utilizarea simultană a contului unui utilizator pe mai multe dispozitive – prin intermediul codurilor QR rău intenționate. Mai multe grupări APT sunt implicate în aceste campanii, printre care UNC5792, UNC4221 (cunoscută și ca UAC-0185), APT44 (cunoscută și ca Sandworm), Turla și UNC1151.

Campanii de spyware dedicate dispozitivelor cu Android, care imită aplicații precum Signal și TikTok (aplicație de mesagerie dezvoltată de Breei Holding, companie cu sediul în Emiratele Arabe Unite) și care au vizat utilizatori din Emiratele Arabe Unite

Cercetătorii în domeniul securității de la ESET au descoperit două campanii de spyware, denumite de specialiști „ProSpy” și „ToSpy”, care păcălesc utilizatorii să instaleze manual fișiere APK infectate cu malware. Aplicațiile false pretind că sunt „Signal Encryption Plugin” sau „ToTok Pro”, dar odată instalate. Încorporează în mod discret spyware care exfiltrează date sensibile de pe dispozitiv.

Campanie de spyware dedicată dispozitivelor Android care a vizat utilizatori din Rusia;

Denumită „ClayRat” și constă în disimularea de malware ca fiind aplicații populare (precum WhatsApp, TikTok, Google (Phostos și Youtube) pentru a induce în eroare utilizatorii în momentul instalării. Aplicațiile malițioase sunt distribuite printr-o combinație de site-uri web false și canale Telegram. Paginile false de unde pot fi descărcate aplicațiile pretind că oferă versiuni actualizate sau îmbunătățite ale acestora, adesea cu recenzii false pentru a părea de încredere.

Exploatarea unor vulnerabilități de securitate ale WhatsApp;

În luna august 2025, WhatsApp a lansat o actualizare de urgență după ce a fost descoperită o vulnerabilitate gravă de securitate în aplicațiile sale pentru iOS și macOS. Vulnerabilitatea (identificată ca CVE-2025-55177), se referă la autorizarea insuficientă a mesajelor de sincronizare a dispozitivelor conectate, ceea ce ar putea permite unui atacator să declanșeze procesarea conținutului dintr-o adresă URL arbitrară pe dispozitivul țintei. „Bug”-ul ar putea fi combinat cu o altă vulnerabilitate recentă din sistemele de operare Apple (CVE-2025-43300), care afectează cadrul de procesare a imaginilor – transformând „exploit”-ul combinat într-un atac „zero-click”, fără a fi necesară interacțiunea utilizatorului.

O alertă cu privire la aceste vulnerabilități a fost semnalată și de Directoratul Național de Securitate Cibernetică (DNSC).

Exploatarea unei vulnerabilități de securitate a dispozitivelor Samsung Galaxy;

Cercetătorii în domeniul securității au descoperit că o vulnerabilitate „zero-click”, acum remediată, prezentă pe anumite dispozitive Samsung Galaxy. Aceasta era exploatată în mod activ pentru a instala un program spion numit „LANDFALL”. Vulnerabilitatea (identificată ca CVE-2025-21042) se află în biblioteca pe procesare a imaginilor Samsung libimagecodec.quaram.so (o eroare de scriere în afara limitelor), care ar putea permite atacatorilor la distanță să execute cod arbitrar.

Se estimează că atacurile au implicat trimiterea prin WhatsApp a unor imagini malițioase, sub formă de fișiere DNG.

Fraudă de tip smishing/phising prin WhatsApp.

În anul curent, DNSC a avertizat asupra unei noi metode de fraudă utilizând WhatsApp, prin care atacatorii încearcă să preia controlul conturilor utilizatorilor. Astfel, în cadrul aplicației, este primit un mesaj, în general de la o persoană apropiată a cărui cont a fost deja compromis, prin care sunt rugați să sprijine o anumită cauză prin acordarea unui vot. Dacă sunt completate datele cerute de persoanele rău intenționate contul de WhatsApp va fi controlat de atacatori.

Pentru a putea contracara amenințările semnalate mai sus, este indicat ca persoanele vizate să revizuiască și să respecte următoarele bune practici:

• Utilizarea comunicațiilor criptate end-to-end (E2EE);
• A metodelor de autentificare rezistente la phishing „Fast Identity Online” (FIDO);
  • FIDO definește protocoale de autentificare care înlocuiesc parolele tradiționale cu metode mult mai sigure: amprentă, recunoaștere facială, PIN local pe dispozitiv, chei hardware de securitate.
• Nu da click pe linkuri primite pe aplicațiile de mesagerie (sau SMS) dacă vin de la numere necunoscute sau suspecte;
• Nu furniza niciodată codurile de verificare primite prin SMS către alte persoane sau pagini – codul este pentru a-ți securiza contul;
• Renunțarea la autentificare multifactorială (MFA) bazată pe servicii de mesaje scurte (SMS);
• Utilizarea unui manager de parole;
• Dacă este posibil, setarea unui cod PIN al furnizorului de telecomunicații pentru a securiza conturile de telefon mobil.;
• Actualizarea periodică a software-ului;
• Să se opteze pentru cea mai recentă versiune de hardware de la producătorul de telefoane mobile pentru a maximiza beneficiile de securitate;
• Pe iPhone se recomandă activarea modului Lockdown, înscrierea în iCloud Private Relay și verificarea/ restricționarea permisiunilor aplicațiilor sensibile;

The post Campanii spyware care afectează utilizatorii aplicațiilor de mesagerie appeared first on Security Patch.

Inteligența artificială (AI) a revoluționat numeroase industrii, dar capacitățile sale au fost, de asemenea, valorificate de infractorii cibernetici pentru a îmbunătăți atacurile de inginerie socială. Ingineria socială, arta de a manipula utilizatorii pentru a divulga informații confidențiale, a evoluat dramatic odată cu inteligența artificială, făcând aceste atacuri mai convingătoare, scalabile și dificil de detectat.

Formele tradiționale de apărare aveau deja dificultăți în a rezolva problema ingineriei sociale, aceasta fiind, potrivit specialiștilor, una dintre cauzele celor mai multe încălcări ale securității datelor. Următoarea generație de amenințări cibernetice, bazate pe inteligență artificială, pot lansa atacuri cu o viteză, o amploare și un realism fără precedent.

Evoluția ingineriei sociale cu ajutorul inteligenței artificiale:

1. Atacuri de phishing sofisticate: E-mailurile tradiționale de tip phishing conțineau adesea erori gramaticale și nu erau autentice. Instrumentele de inteligență artificială precum ChatGPT permit acum atacatorilor să creeze e-mailuri extrem de bine elaborate și convingătoare, imitând comunicarea legitimă.
2. Tehnologia Deepfake: Deepfake-urile generate de inteligența artificială – materiale video și audio – permit atacatorilor să se dea drept persoane cu o precizie uimitoare. De exemplu, clipurile video deepfake au fost utilizate pentru a se da drept persoane din conducerea unor entități juridice, convingând angajații să transfere sume mari de bani.
3. Clonarea vocii: Inteligența artificială poate reproduce vorbirea umană cu ajutorul unor monstre audio minime. Această tehnologie a fost exploatată în atacuri de phishing vocal („vhishing ”), în care atacatorii se dau drept persoane de încredere pentru a extrage informații sensibile.
4. Atacuri automatizate la scară largă: Inteligența artificială permite automatizarea atacurilor de inginerie socială, de la selectarea țintei la răspunsuri personalizate. Această abordare la scară industrială sporește amploarea și impactul unor astfel de campanii.

Implicații în lumea reală

• Compromiterea e-mailurilor de business (BEC): Inteligența artificială a amplificat eficacitatea schemelor BEC, ducând la pierderi de miliarde de euro. Biroul Federal de Investigații (FBI) a emis un avertisment pentru întreprinderi cu privire la escrocheriile de tip BEC, care au dus la pierderi de aproape 55,5 miliarde de dolari în ultimul deceniu.
• Fraudă financiară: Într-un caz, atacatorii au folosit o înregistrare video deepfake a unui director financiar pentru a orchestra o escrocherie de 25 de milioane de dolari. Astfel de incidente evidențiază riscurile financiare reprezentate de ingineria socială îmbunătățită de inteligența artificială.
• Erodarea încrederii: Realismul conținutului generat de inteligența artificială subminează încrederea în comunicarea digitală, făcând dificilă distingerea interacțiunilor autentice de cele frauduloase.

Măsuri de combatere și recomandări

1. Formare avansată în domeniul securități: Organizațiile trebuie să își actualizeze programele de conștientizare în materie de securitate pentru a include instruire privind amenințările bazate pe inteligența artificială. Scenariile simulate de phishing și deepfake pot ajuta angajații să recunoască și să răspundă la astfel de atacuri.
2. Mecanisme de apărare bazate pe AI: Exploatarea inteligenței artificiale pentru a detecta și contracara amenințările generate de inteligența artificială este esențială. De exemplu, AI poate analiza modele de comunicare pentru a identifica anomaliile care indică ingineria socială.
3. Politici de încredere zero: Adoptarea abordării ”Niciodată încredere, întotdeauna verificare” garantează că toate interacțiunile, chiar și cele care par legitime, sunt analizate.
4. Supraveghere, reglementare și etică: Guvernele și organizațiile trebuie să colaboreze pentru a stabilii reglementări cu privire la utilizarea inteligenței artificiale, asigurând dezvoltarea într-un mod etic și atenuând abuzurile.

Concluzii

Ingineria socială bazată pe AI reprezintă o provocare semnificativă în domeniul securității cibernetice. Deși inteligența artificială are potențialul de a îmbunătăți apărarea, utilizarea sa abuzivă subliniază nevoia de vigilență, inovare și colaborare între părțile interesate. Prin înțelegerea și abordarea acestor amenințări, putem valorifica potențialul inteligenței artificiale, protejându-ne în același timp împotriva riscurilor sale.

The post Ingineria socială bazată pe AI appeared first on Security Patch.

Over the years, Antoniu has built a strong foundation through roles such as Cyber Analytics Developer, Threat Hunting Analyst, and Incident Response Analyst, bringing a well-rounded perspective to his current work on the front lines of cyber defense.

We invite you to read the interview where he shares insights from his journey, thoughts on threat hunting, and valuable advice for anyone looking to break into the field.

1. As a Cyber Analytics Developer, what specific tools and techniques do you use to analyze and detect cyber threats, and how do you ensure that the analytics remain relevant as threats evolve?

On a daily basis I use a variety of tools to help me analyse, investigate and remediate threats. For an efficient analysis, a Security Information and Event Management (SIEM) product such as Google Security Operations is highly recommended so that review of the available data is done easily. By using the SIEM of choice, common methodologies such as anomaly and Indicator of Compromise (IoC) detection can be leveraged to identify the presence of malice in the environment. Lastly, in order for the analytics to remain relevant with current threats, an analyst needs to monitor and stay informed with current trends in the industry.

2. Can you describe the methodologies you follow in threat hunting? How do you prioritize the types of threats or adversaries you focus on, and how do you continuously refine your approach?

During a Threat Hunt, I primarily focus on using Intelligence or Data driven methodologies to uncover any threats. Intelligence based threat hunts allow you to have some quick wins over detecting malice in the environment, while Data driven allows you to get any anomalies that stand out which have not yet been shared across the intelligence community. When deciding which security threats to prioritize for detection, several factors must be taken into account. This includes the impact and criticality a threat would have on an organization’s operations, as well as the likelihood of it to occur. Last but not least, staying informed with the current threat landscape allows the adaptation of any new methods into the detection rules.

3. What are the key differences between using traditional signature-based detection methods versus behavioral analytics when hunting threats, and what tools do you consider essential in each case?

Traditional signature-based detection methods allow the identification of threats by using known artifacts that malware or threats have left behind during their presence in the environment. On the other hand, behavioral analytics focus on identifying any anomalies in the environment that stand out from normal behaviour, which prompts an analyst to investigate further. While the first method can be easily achieved by placing detections on the host itself, the latter requires the activity, or the logs to be in a centralized location to perform analytics on them. Security information and event management (SIEM) products like Google Security Operations can be used to easily apply these two methods.

4. How do you collaborate with other teams, such as Incident Response or Threat Intelligence, to develop a comprehensive understanding of emerging threats? Can you provide an example of a successful cross-team effort?

Collaboration across different Cyber security teams is crucial when it comes to identifying and remediating emerging threats. One recent example was the identification of the threat actor group UNC4990. The active collaboration and monitoring between the different teams helped in keeping up with the fast changes the threat actor was adopting during the campaign. The information collected during the analysis of these operations helped identify and remediate additional points of compromise, gain deeper understanding of the attacker TTPs, and effectively disrupt the attack chain.

5. In an Incident Response (IR) scenario, how do you balance speed with thoroughness when investigating and mitigating a cyber incident? What challenges do you typically face during the first 24 hours of an active incident?

One of the main challenges in the first few hours of an incident is identifying and collecting key information that will help eliminate the threat in the environment. By automating the collection of such key evidence, it can help with making the right decisions on containing and remediating the threat as fast as possible. In the initial hours of an incident, it’s important to understand the TTP’s being observed and the scope of access which an attacker may have. Containment and remediation actions without this understanding can lead the attacker to pivot TTPs and hide their tracks deeper within the environment.

6. With the rapid evolution of threat tactics, what are some of the most significant trends you’re seeing in terms of adversarial behavior? How do you adapt your threat-hunting and IR strategies to address these changes?

Over the years, adversaries have been heavily adapting their techniques to avoid getting detected by traditional security controls. This consists of a combination of methods including using legitimate binaries that already exist on the compromised system to achieve their purpose, and the use of obfuscated or encrypted payloads to avoid static detection by tools. Detecting such activity requires to initially establish a known baseline of execution of such tools in the environment, and in the event of an anomaly, validate the legitimacy of their execution.

7. How do you view the role of automation in Incident Response? Are there any specific tools or frameworks you’ve used to automate and orchestrate responses to certain types of incidents?

Automation in Incident Response is imperative. By having the right tools and information in place ready to be analysed when an incident occurs, it is vital in remediating the existence of threats in an environment as fast as possible to avoid a bigger impact. This includes, but is not limited, to auto-containment of hosts (where possible and needed), auto-acquisition of files related to the alert, as well as auto-acquisition of additional data sources that would aid with the investigation.  

8. Looking ahead, how do you see the role of a Cyber Analytics Developer or Threat Hunting Analyst evolving over the next 5 years? What skills or areas of knowledge should aspiring analysts focus on to stay ahead in the cybersecurity field?

The cyber security landscape is constantly shifting, and artificial intelligence (AI) will become crucial for threat analysis and detection in the coming years. To effectively identify and address these threats, security analysts must learn how to leverage AI agents. While there’s still progress to be made in this area, understanding the application of AI agents in cyber security is essential.

The post Panagiotis Antoniou – “Understanding the application of AI agents in cyber security is essential” appeared first on Security Patch.

București, 12 iulie 2025 – nod.ro, o companie românească importantă din sectorul IT, a fost recent ținta unui atac ransomware executat de gruparea infracțională cunoscută sub numele de SafePay. Incidentul, descoperit în după-amiaza zilei de 12 iulie, a cauzat nu doar blocarea accesului la sistemele companiei, ci și expunerea publică a datelor sensibile pe forumuri de criminalitate cibernetică, punând în pericol confidențialitatea informațiilor și securitatea clienților.

Atacul ransomware: Ce s-a întâmplat?

Ransomware-ul este o formă de atac cibernetic în care infractorii compromit sistemele informatice și criptează datele, solicitând o răscumpărare în criptomonede pentru a le debloca. În cazul nod.ro, gruparea SafePay a pătruns în rețelele companiei, a blocat accesul la fișiere esențiale și a solicitat o sumă considerabilă pentru recuperarea datelor.

Pe lângă blocarea sistemelor, după ce compania nu a plătit răscumpărarea, SafePay a făcut publice datele furate pe forumuri și platforme de criminalitate cibernetică. Această expunere reprezintă o gravă amenințare pentru nod.ro și pentru toate părțile implicate — de la clienți și parteneri, la angajați.

SafePay și metodele folosite: O grupare cu experiență

SafePay este recunoscută internațional ca un grup sofisticat de infractori cibernetici care operează printr-un model denumit „ransomware-as-a-service” (RaaS). Aceasta înseamnă că dezvoltatorii malware-ului îl închiriază altor hackeri, care îl folosesc pentru a lansa atacuri țintite.

Metodele SafePay includ:

• Infiltrarea rețelelor prin phishing sau exploatarea vulnerabilităților software
• Criptarea rapidă și eficientă a datelor
• Șantaj prin expunerea publică a informațiilor furate în cazul în care victima refuză să plătească

Publicarea datelor pe forumuri de criminalitate cibernetică este o tactică de presiune care extinde daunele asupra victimelor, facilitând accesul la informații de către alte grupuri criminale și sporind riscul atacurilor secundare.

Contextul din România: O țară vulnerabilă la atacuri cibernetice

Deși România are o comunitate IT în creștere și companii din ce în ce mai digitalizate, nivelul general al pregătirii și protecției cibernetice rămâne insuficient. Multe firme nu au implementat măsuri avansate de securitate și nu investesc suficient în formarea angajaților pentru a recunoaște amenințările digitale.

Acest fapt face ca țara noastră să fie o țintă atractivă pentru grupările de hackeri, care vizează organizații cu vulnerabilități ușor de exploatat.

Impactul asupra nod.ro și asupra clienților săi

Consecințele atacului sunt multiple și severe:

• Pierderea temporară a accesului la sistemele IT a afectat funcționarea normală a companiei, cu impact asupra serviciilor oferite.
• Expunerea datelor sensibile publicate pe forumuri de criminalitate cibernetică crește riscul de fraude, furt de identitate și atacuri cibernetice suplimentare.
• Reputația companiei poate fi grav afectată, ceea ce poate conduce la pierderea încrederii clienților și partenerilor de afaceri.
• Posibile sancțiuni legale și financiare, având în vedere legislația europeană privind protecția datelor (GDPR).

Concluzie: Vigilenta și prevenția, singurele soluții

Atacul asupra nod.ro și expunerea datelor pe forumuri de criminalitate cibernetică reprezintă un avertisment grav pentru mediul de afaceri românesc și internațional. Într-o lume din ce în ce mai digitalizată, investiția în securitatea cibernetică nu mai este opțională, ci obligatorie.

Fiecare companie trebuie să ia măsuri proactive și să adopte soluții moderne pentru a se proteja împotriva atacurilor ransomware și a altor amenințări cibernetice. Altfel, riscul de a deveni următorul caz mediatizat este extrem de ridicat.

The post Atac ransomware asupra nod.ro: Date expuse pe forum-uri cybercrime appeared first on Security Patch.

“De ce aceste procese care ar trebui să colaboreze, ajung adesea să se saboteze reciproc?”

Această întrebare se află în centrul unei prezentări intitulate „Code Review vs. Security Review: Where Engineers & Security Teams Clash”, ce va explora în profunzime tensiunile dintre cele două tabere și efectele lor asupra produselor software.

Când agile-ul ignoră securitatea

În cadrul dezvoltării agile, livrările rapide și iterarea continuă sunt esențiale. Însă, în acest ritm alert, procesele tradiționale de security review sunt adesea percepute ca obstacole – lente, birocratice și greu de integrat în pipeline-ul CI/CD. Din această cauză, multe organizații ajung să compromită verificările de securitate în favoarea vitezei.

Cazuri reale

Prezentarea va include studii de caz în care vulnerabilități majore au fost ratate nu pentru că nu existau proceduri, ci pentru că aceste proceduri nu erau aliniate cu modul în care lucrează echipele de dezvoltare. În multe situații, code review-ul se face superficial, fără o înțelegere reală a riscurilor de securitate, iar security review-ul intervine prea târziu – uneori doar după ce incidentul s-a produs.

Ce putem face mai bine: integrarea securității fără a încetini livrarea produselor

O abordare integrată, în care security review-ul este gândit de la început ca parte a procesului de dezvoltare. Prezentarea va evidenția bune practici, cum ar fi:

• Implicarea timpurie a echipelor în securitate în faza de design
• Educarea dezvoltatorilor pentru a recunoaște tipare de vulnerabilități
• Automatizarea verificărilor de securitate

Mesajul-cheie este următorul: securitatea nu trebuie să fie un obstacol, ci un partener de încredere al echipelor de dezvoltare.

Fie că ești inginer software, profesionist în securitate sau pur și simplu pasionat de dezvoltare și bune practici, nu rata prezentarea „Code Review vs. Security Review: Where Engineers & Security Teams Clash”, susținută de Daniel Pițiș – Trainer and Secure Coding.

 Când: Vineri, 9 mai 2025, ora 18:00
 Unde: ClujHUB – Central Shopping Center, etajul 3, Cluj-Napoca
 Accesul se face prin Strada Tipografiei – liftul sau scările de lângă Carrefour

După prezentare putem sta de vorba în cadrul unei sesiuni de networking relaxată, cu muzică, băuturi și conversații faine. Indiferent dacă ești la început de drum sau ai deja ani de experiență, ești mai mult decât binevenit!

The post Hai la prezentarea „Code Review vs. Security Review” în Cluj – 9 mai @CLUJHUB | CENTRAL appeared first on Security Patch.

Este vorba despre “Advanced Cyber Range Training for Maritime Cyber Resilience”, primul curs european de acest tip, desfășurat sub egida European Security and Defence College (ESDC). Această inițiativă reprezintă un program pilot european pentru formare avansată în reziliență cibernetică maritimă, o premieră la nivel european.

Ce este European Security and Defence College (ESDC)?

European Security and Defence College (ESDC) este o instituție a Uniunii Europene care oferă programe de instruire și educație în domeniul politicii de securitate și apărare comune (PSAC), adresate personalului civil și militar din statele membre. Prin cursuri specializate, ESDC contribuie la întărirea cooperării europene în materie de securitate și apărare.

Ce teme au fost abordate în timpul cursului?

Timp de patru zile, cursul a reunit specialiști din rândul oficialilor civili și militari din statele membre ale Uniunii Europene, implicați activ în domeniul securității cibernetice. Participanții au avut oportunitatea de a colabora, de a face schimb de bune practici și de a lucra într-un cadru realist de tip cyber range, simulând atacuri cibernetice specifice sectorului maritim și testând soluții de apărare și reacție eficientă.

Programul a avut ca obiectiv principal dezvoltarea unei expertize strategice în rândul participanților, prin aprofundarea provocărilor actuale din domeniul securității cibernetice maritime și aplicarea principiilor rezilienței cibernetice. Acesta a oferit instruire practică avansată, prin exerciții interactive desfășurate pe platforme de tip cyber range, care au permis modelarea atacurilor, gestionarea incidentelor și testarea tacticilor defensive. Totodată, cursul a facilitat explorarea unor tehnologii emergente cu impact asupra securității maritime, precum Inteligența Artificială (AI), Internet of Things (IoT) și criptografia quantum-safe. Un alt beneficiu major al programului a fost accentul pus pe colaborarea intersectorială, prin simulări complexe de crize cibernetice și promovarea parteneriatelor public-private, esențiale pentru consolidarea rezilienței digitale în sectorul maritim.

România se poziționează din ce în ce mai clar ca un hub regional în domeniul securității cibernetice maritime, susținând dezvoltarea de soluții inovatoare, încurajând schimbul de cunoștințe și consolidând parteneriate strategice cu lideri din industrie, agenții guvernamentale și organizații internaționale.

Participarea la astfel de cursuri nu reprezintă doar un pas important în dezvoltarea profesională, ci și o confirmare a direcției în care se îndreaptă Europa în privința protejării infrastructurilor maritime critice. Într-o lume digitalizată, securitatea cibernetică nu este un lux, ci o necesitate strategică.

Recomand cu încredere acest curs tuturor celor care activează sau doresc să se specializeze în domeniul securității cibernetice aplicate în sectorul maritim. Este o experiență completă, bine ancorată în realitățile actuale și în provocările viitorului apropiat.

Dacă ești interesat de formare profesională în domeniul securității și apărării la nivel european, te încurajez să accesezi site-ul oficial al European Security and Defence College (ESDC) și să descoperi cursurile disponibile: https://esdc.europa.eu/courses/

The post „Advanced Cyber Range Training for Maritime Cyber Resilience”, desfășurat sub egida European Security and Defence College (ESDC) appeared first on Security Patch.

“At the beginning of the year, and as a positive start for us, and in order to solidify the name of our group in your memory, we are proud to announce our first official operation.”

Declarația sugerează că gruparea își propune să se impună rapid în peisajul amenințărilor cibernetice. Pagina de pe Malpedia oferă detalii despre tacticile și profilul grupului, subliniind caracterul lor emergent și intenția de a crea un impact de durată în memoria colectivă a specialiștilor în securitate cibernetică.

Vulnerabilitatea CVE-2022-40684, identificată acum aproape trei ani, permite atacatorilor neautentificați să exploateze interfața administrativă a dispozitivelor FortiNet folosind request-uri HTTP/HTTPS special construite. Versiunile afectate includ:

• FortiOS: 7.0.0 – 7.0.6 și 7.2.0 – 7.2.1
• FortiProxy: 7.0.0 – 7.0.6 și 7.2.0
• FortiSwitchManager: 7.0.0 și 7.2.0

Articolul de la SocRadar explică în detaliu metoda de exploatare, arătând cum atacatorii au reușit să identifice și să profite de punctele slabe ale acestor sisteme, demonstrând că nici o vulnerabilitate veche nu trebuie ignorată.

Conform celor dezvăluite de Belsen Group, atacul a condus la exfiltrarea unor informații extrem de sensibile, precum adrese IP, configurații detaliate ale dispozitivelor, credențiale VPN și parole.

Această “ofertă” digitală, distribuită public ca un fel de „cadou” de început de 2025, subliniază gravitatea incidentului. De asemenea, repository-ul de pe GitHub furnizează documentația tehnică și exemple concrete ale datelor compromise, ajutând la înțelegerea în detaliu a mecanismelor exploatării și structura datelor extrase.

Operațiunea a avut o amploare globală, afectând 144 de țări, cu următoarele repartiții semnificative:

• Mexic: 1.604 dispozitive (~10,37%)
• Emiratele Arabe: 1.081 dispozitive (~6,99%)
• Tailanda: 1.043 dispozitive (~6,74%)
• Malaysia: 805 dispozitive (~5,20%)
• Statele Unite: 681 dispozitive (~4,40%)
• Brazilia: 677 dispozitive (~4,38%)
• Australia: 553 dispozitive (~3,57%)
• Columbia: 532 dispozitive (~3,44%)
• Republica Dominicană: 513 dispozitive (~3,32%)
• Arabia Saudită: 461 dispozitive (~2,98%)

În România, cele 22 de infrastructuri compromise (aproximativ 0,14% din total) subliniază că niciun sistem nu este complet imun, indiferent de mărime sau localizare. În urma analizei interne, inclusiv a recomandărilor formulate de specialiști în articolele de la CSO Online și ale producătorului Fortinet, iată măsurile esențiale pentru protecție:

• Schimbarea credențialelor: Imediat după identificarea unei breșe, actualizați toate parolele și accesările.
• Aplicarea patch-urilor de securitate: Asigurați-vă că dispozitivele rulează cele mai recente versiuni care corectează vulnerabilități.
• Monitorizarea continuă a rețelei: Implementați sisteme IDS/IPS pentru detectarea activităților suspecte în timp real.
• Revizuirea configurațiilor: Reduceți privilegiile, blocați porturile neutilizate, utilizați whitelist și dezactivați serviciile neesențiale.
• Straturi suplimentare de securitate: Segmentați rețeaua, instruirea personalului și implementarea autentificării multifactor (MFA/2FA) pot spori semnificativ nivelul de protecție.
• Plan de reacție la incidente: Dezvoltați și testați periodic un plan de răspuns pentru a reduce impactul unui eventual atac.

Atacul Belsen Group, prin exploatarea vulnerabilității CVE-2022-40684, reprezintă o reamintire dură a faptului că nici o breșă nu este prea veche pentru a fi considerată inofensivă. Administratorii de sistem trebuie să se asigure că update-urile/ patch-urile de securitate sunt aplicate rapid, monitorizarea este realizată continuu și măsurile de securitate sunt revizuite constant. Dacă nu vrei să devii “cadoul” preferat al unui hacker, este timpul să iei măsuri serioase!

Articol scris de Daniela SERBULENCO și Rolland-Krisztian VASS

The post Vulnerabilitatea CVE-2022-40648 exploatată de Belsen Group appeared first on Security Patch.

1. Q: Considering that Romania is hosting a European Union agency for the first time, how do you think the ECCC will impact the field of cybersecurity, and will it create development opportunities in this domain?

A: The presence of the ECCC is Romania brings mutual benefits. Bucharest offers a perfect location for the centre with skilled workforce and a good ecosystem of cyber companies and expertise. At the same time having the ECCC is Romania shall benefit the local companies in having access to information, attendance to events and cross pollution of expertise. This is already measurable by the high number of successful applications for grants received by Romanian companies.

2. Q: How does the European Cybersecurity Competence Centre (ECCC) define its mission within the cybersecurity architecture of the European Union, and what are its main responsibilities in this critical domain?

The mission of the ECCC fits well into the overall cyber strategy of the European Union. The ECCC’s mandate is to strengthen the EU cyber resilience, to support investment in research and to increase competitiveness of the EU industry on the global scale. A special focus is on building resilience of small and medium-sized enterprises (SME) to face cyberthreats.

3. Q: What are the ECCC’s strategic pillars for the next 5 years in strengthening European cybersecurity and what major initiatives are planned to address emerging threats?

The ECCC strategic agenda, published on the website of the Agency, is based on 8 priorities and 27 individual actions which define the areas of investment and joint efforts. The main pillars of the strategy are:

• Support SMEs to develop and use strategic cybersecurity technologies, services and processes:
• Support and grow the professional workforce:
• Strengthen research, development and innovation expertise in the broader European cybersecurity ecosystem.

In particular for the first pillar the ECCC will invest significant funds for development of key technologies for cybersecurity to be used by SMEs and government. This include PQC and AI.

4. Q: How does the ECCC collaborate with other essential cybersecurity bodies, such as ENISA or NATO partners, to create a coordinated defense network?

ENISA is the natural partner of the ECCC as most of our actions are coordinated with them. ENISA is member of the ECCC Governing Board, and its representatives are involved in the thematic working group of the Agency. For what concerns cooperation with NATO, this can only happen within the larger EU-NATO Agreement and cannot be done by single EU bodies.

5. Q: From the ECCC’s perspective, what are the main trends in the evolution of cybercrime, and how do these affect European society as a whole, both economically and socially?

The ENISA Threat Landscape indicates Ransomware as the top threat for the next year and the one with the highest economical costs. However, from a more strategic viewpoint it’s important to note that state-sponsored cyber-attacks to critical infrastructure are very serious threats that need a systemic response. These attacks have increased in number and impact following the complex geopolitical situation and increase of hybrid warfare.

6. Q: What priority measures has the ECCC adopted to combat ransomware, and how do these measures contribute to the prevention and management of such attacks at the European level?

Fighting ransomware as a crime is mainly a task of Europol and the EC3 lab in cooperation with national law enforcement agencies. The ECCC role is more in prevention and raising awareness. Few ongoing grants are related to increasing resilience of industry and private citizens to mitigate or stop ransomware attacks.

7. Q: Given that critical infrastructures are increasingly frequent targets of cyberattacks, how does the ECCC plan to improve their resilience against potential threats?

Attacks to critical infrastructures is a growing threat that need to be properly address especially in view of the increased use of hybrid attacks as a result of the unstable geopolitical situation. To strengthen resilience of the critical infrastructure the ECCC is supporting (with the dedicated funds) the implementation of the NIS2 Directive and the creation of a network of cross-borders cyber hubs that will act as early detection and response centre in case of cyber-attacks to critical infrastructures around Europe.

8. Q: What strategies is the ECCC implementing to counter disinformation and digital manipulation, phenomena that directly impacts the functioning of democratic processes in Europe?

The ECCC does not have a direct role in the implementation of the Digital Services acts or in countering disinformation. These are activities coordinated by the European Commission directly with the involvement of the national cyber agencies.

9. Q: How does the ECCC aim to raise public awareness about cybersecurity threats and encourage the adoption of best practices at both individual and organizational levels?

Raising awareness and increasing competence on cybersecurity is one of the pillars of the ECCC mission. We do that by financially supporting dedicated events and initiatives at member states level and partnering with specialized organizations. One large initiative for 2024 was to work with ECSO (the ECCO project) for the organization of events, webinars, conference and seminars to raise awareness. This effort will continue and grow in the future with the ECCC taking a more prominent role in organizing large EU events in cooperation with ENISA and member states.

10. Q: What are the main challenges and emerging opportunities that the ECCC anticipates in the field of cybersecurity over the next decade?

For the next 3 years, the ECCC will focus on four main areas which are considered existing and emerging threats. These are: Artificial Intelligence for cybersecurity; Post Quantum Cryptography; implementation of the Cyber Solidarity Act to increase resilience of critical infrastructures and finally preparedness of SMEs to cyber-attacks. In these areas the ECCC will invest more than 350 million euro for EU projects.

11. Q: What is your opinion on the level of cybersecurity development in Romania, based on the Cybersecurity Dialogues Congress in Sibiu, where you represented the ECCC?

Romania has a very dynamic ecosystem of companies that compete at international level with good success. In addition, the Romania universities educate very skilled professionals that are often recruited abroad for their knowhow. The challenge for the policy makers is to create incentives and the right conditions for the young talents to remain in Romania rather than moving abroad. You have all the potentials for becoming the centre of excellence in cyber at European level and I hope the presence of the ECCC will help this process.

The post Luca Tagliaretti – The presence of the ECCC in Romania brings mutual benefits. Bucharest offers a perfect location for the centre appeared first on Security Patch.