Blog
Actualitate16 iulie 20266 min de citit

Atacul de la ANCPI, revendicat: cine este „ByteToBreach" și ce susține că a furat

Atacul asupra ANCPI a fost revendicat de un actor sub aliasul „ByteToBreach". Ce susține că a furat, ce a confirmat ANCPI și de ce contează distincția.

Ceea ce ANCPI numea inițial „incident tehnic” este acum confirmat drept atac cibernetic și, în plus, a fost revendicat public. Un actor care operează sub aliasul „ByteToBreach” susține că a pătruns în sistemele Agenției Naționale de Cadastru și Publicitate Imobiliară și că a scos la vânzare date furate. Acest articol continuă relatarea noastră despre incidentul de la ANCPI cu ce se știe despre atacator și despre revendicările lui — inclusiv ce rămâne neconfirmat.

Cine este „ByteToBreach"

Potrivit directorului Direcției Naționale de Securitate Cibernetică (DNSC), Dan Cîmpean, atacatorul este un actor motivat financiar, suspectat a fi de origine algeriană și specializat în obținerea „accesului inițial” la sisteme. Atacatorul a precizat că nu este vorba de un grup, ci de o singură persoană, cu un istoric de breșe în organizații din mai multe țări, inclusiv sisteme guvernamentale. Nu numim aici nicio persoană anume: atribuirea publică rămâne la nivel de alias și de caracterizare oficială, iar identificările din surse terțe pot fi eronate.

Ce susține că a furat

  • Date ale cetățenilor români din diverse baze de date colectate prin rețelele ANCPI.
  • O copie a serverelor GitLab ale instituției, cu codul-sursă al aplicațiilor (e-Terra, RENNS).
  • Desfășurarea unui program de tip ransomware pe sisteme.
  • Scoaterea datelor la vânzare pe forumuri de pe dark web, cu capturi de ecran prezentate ca „dovadă”.

Atacatorul a negat informația că ar fi cerut o răscumpărare de 10 milioane de euro, susținând că motivația sa este strict financiară. Firma de intelligence KELA Cyber notează că, în incidente anterioare, acest actor a publicat seturi de date verificabile — ceea ce sugerează că revendicările actuale ar putea avea substanță, dar rămân, deocamdată, neconfirmate.

Ce a confirmat ANCPI — și ce nu

ANCPI a declarat că datele administrate prin sistemele sale nu au fost compromise în urma incidentului. Nuanța importantă: comunicatul vizează bazele de date, dar nu adresează direct o eventuală intruziune în rețea sau exfiltrarea codului-sursă — exact elementele pe care atacatorul le revendică. A nega compromiterea bazelor de date nu acoperă aceleași fapte descrise în anunțul de pe forum.

„Datele nu au fost compromise” nu este același lucru cu „nu a existat nicio intruziune”. Distincția contează: accesul la rețea sau furtul codului-sursă pot avea efecte pe termen lung, chiar dacă bazele de date rămân, oficial, neafectate.

Ce înseamnă asta practic

Actori de acest tip obțin de regulă primul punct de sprijin prin metode banale: credențiale furate prin phishing sau prin programe de tip infostealer, parole reutilizate, sisteme necorectate sau configurări greșite expuse în internet. De aceea, apărarea începe cu igiena de bază — MFA, parole unice, awareness recurent și corectarea rapidă a vulnerabilităților — nu cu tehnologii spectaculoase.

Awarely Learning acoperă partea de awareness recurent: parcursuri pe roluri, simulări de phishing controlate, evaluări care confirmă înțelegerea și evidențe de finalizare pe care le poți arăta la un audit. Restul — MFA, patching, segmentare, monitorizare și un plan de răspuns — rămâne parte din programul mai larg de securitate al organizației.

#ANCPI#ByteToBreach#ransomware#România#atac cibernetic#date personale