A agência nacional responsável pela administração dos recursos hídricos da Romênia confirmou, no domingo, que sofreu um ataque ransomware que impediu o acesso de servidores públicos a aproximadamente 1.000 computadores. A ação afetou estações de trabalho e servidores internos, provocando prejuízos relevantes às rotinas administrativas do órgão.
Segundo a Diretoria Nacional de Segurança Cibernética da Romênia, o incidente não atingiu sistemas de tecnologia operacional (OT) nem estruturas consideradas críticas, como barragens ou mecanismos de controle de enchentes. Apesar disso, a interrupção dos serviços de e-mail obrigou a equipe a utilizar telefone e rádio para manter a comunicação, evidenciando o impacto direto do ataque no funcionamento da instituição.
Um aspecto que chama atenção no caso é o método empregado pelos invasores. Diferentemente do modelo tradicional de ransomware, que envolve a instalação de softwares maliciosos, as análises preliminares indicam que os criminosos abusaram do BitLocker — ferramenta legítima de criptografia do próprio Windows — para bloquear os sistemas e exigir resgate.
Essa estratégia está associada à técnica conhecida como LOLBins (Living Off the Land Binaries), na qual cibercriminosos se valem de recursos nativos do sistema operacional para contornar mecanismos de segurança, dificultar a detecção por antivírus e se deslocar pela rede de forma mais discreta.
Estudos divulgados no ano passado pela Kaspersky já haviam apontado um aumento desse tipo de ataque em países como México, Indonésia e Jordânia, afetando setores estratégicos, incluindo siderurgia, produção de vacinas e órgãos governamentais.
A Bitdefender também alertou recentemente para o uso do malware ShrinkLocker, um script desenvolvido especificamente para explorar o BitLocker e utilizado por diferentes grupos hackers em ataques considerados mais simples, especialmente contra versões antigas do Windows.
De acordo com a agência romena de segurança cibernética, os responsáveis pelo ataque deixaram uma nota exigindo contato em até sete dias. As autoridades reforçaram que a política oficial da Romênia é não negociar nem manter diálogo com criminosos digitais, seguindo recomendações internacionais para casos de extorsão cibernética.
