TL;DR
De marți, 14 iulie 2026, sistemele Agenției Naționale de Cadastru și Publicitate Imobiliară (ANCPI) – inclusiv platforma e-Terra și infrastructura de e-mail – sunt nefuncționale, în urma unui atac cibernetic pe care instituția l-a descris inițial drept „incident tehnic major”.
Pe 15 iulie, un actor care folosește alias-ul bytetobreach a scos la vânzare, pe o platformă specializată în comerțul cu date furate, informații pe care le prezintă drept sustrase din rețelele ANCPI, inclusiv cod sursă al aplicațiilor instituției, și a revendicat inclusiv desfășurarea unui ransomware și ștergerea backup-urilor.
ANCPI susține că datele administrate nu au fost compromise. SecurityPatch.ro a reușit să contacteze direct persoana care își asumă atacul. Echipa Hackout.ro a corelat informațiile publice disponibile despre incident, inclusiv câteva surse de threat intelligence, și le prezintă mai jos.
Intro
Agenția Națională de Cadastru și Publicitate Imobiliară (ANCPI) se confruntă cu ceea ce instituția însăși descrie drept cel mai grav incident tehnic din istoria sa. Toate sistemele informatice ale agenției – inclusiv platforma e-Terra, folosită pentru cadastru și carte funciară, dar și infrastructura de e-mail – au căzut, lăsând notarii, avocații și cadastriștii fără posibilitatea de a elibera extrase de carte funciară sau planuri cadastrale. Practic, o mare parte din tranzacțiile imobiliare din România sunt încă blocate.
De la „incident tehnic” la atac cibernetic recunoscut
Primele comunicări oficiale au vorbit despre un „incident tehnic major”. A doua zi, însă, ANCPI a confirmat public că este vorba, de fapt, despre un atac cibernetic – cel mai amplu din istoria instituției. Agenția a transmis că datele pe care le administrează „sunt în siguranță și nu au fost compromise”, precizând că circumstanțele sunt investigate de autoritățile competente. Directoratul Național de Securitate Cibernetică (DNSC) a confirmat că a fost notificat pe 14 iulie.
Estimările inițiale ale ANCPI vizau o revenire a e-Terra până la finalul săptămânii respective. În realitate, la trei zile distanță, sistemul continua să fie nefuncțional pentru cetățeni, notari și instituții financiare deopotrivă. (surse: Digi24, HotNews, Antena 3, SecurityPatch.ro)
Datele, scoase la vânzare pe 15 iulie
Lucrurile au luat o turnură mai gravă pe 15 iulie, când o investigație Public Record a arătat că un hacker a scos deja la vânzare, pe o platformă specializată în comerțul cu date obținute din breșe, informații pe care le prezintă drept furate din rețelele ANCPI – inclusiv, susține el, cod sursă al aplicațiilor folosite de instituție. Anunțul de vânzare avea un titlu provocator la adresa României, iar în capturile de ecran publicate atacatorul afirmă că a început deja să șteargă backup-urile disponibile ale sistemelor compromise – practic copiile de rezervă menite să permită restaurarea datelor în cazul unui incident.
Compania israeliană de securitate cibernetică Kela, citată în mai multe investigații, descrie persoana din spatele atacului ca pe un actor cu experiență tehnică, care ar fi comercializat anterior date sensibile provenite de la companii aeriene, bănci și instituții guvernamentale din mai multe state — printre țintele anterioare fiind menționate Ucraina, Cipru, Polonia, Chile, SUA, Uzbekistan și Kazahstan.
Poziția publică a ANCPI rămâne, cel puțin oficial, neschimbată: instituția susține că datele administrate nu au fost compromise, o afirmație care contrazice direct materialul publicat de presupusul atacator.
Platforma de threat intelligence Dark Web Informer a confirmat, independent, apariția anunțului: actorul care folosește alias-ul bytetobreach revendică un compromis extins al rețelei interne ANCPI, susținând că a sustras atât date cadastrale ale cetățenilor, cât și repository-uri de cod sursă ale sistemelor critice, și că ar fi desfășurat ransomware în infrastructura agenției. Platforma marchează însă explicit revendicarea drept neconfirmată și subliniază riscurile pe termen lung pentru cetățenii afectați – fraudă, infracțiuni legate de proprietăți și furt de identitate – în cazul în care datele sunt reale.
În paralel, aceeași listare a fost identificată și pe alte forumuri specializate în comerțul cu date obținute din breșe.
(surse: Public Record, Digi24, Antena 3, Mediafax, Dark Web Informer)
Deși ANCPI nu a confirmat public nici criptarea de fișiere, nici un atac de tip ransomware, o simplă căutare pe Google (site:ancpi.ro encrypted) arată că motorul de căutare a indexat deja, pe domeniul ancpi.ro, mai multe fișiere standard de WordPress cu extensia suplimentară „.encrypted” – printre care wp-load.php.encrypted, wp-config.php.encrypted, wp-trackback.php.encrypted, readme.html.encrypted și license.txt.encrypted, unele datate 15 iulie 2026, ora 20:36. Practic, chiar fișierele publice ale site-ului web al instituției par să fi fost criptate de un ransomware și au rămas, ulterior, expuse și indexate ca atare. Alte publicații, precum Ziare.com și Business24.ro, au ajuns independent la aceeași concluzie, pe baza acelorași indicii vizibile public. Este un detaliu relevant, pentru că vine în contradicție cu narativul oficial conform căruia „datele administrate de instituție nu au fost compromise” – cel puțin la nivelul infrastructurii web publice, urmele criptării sunt vizibile de oricine, fără nicio scanare sau acces neautorizat, printr-o simplă căutare.
O posibilă cerere de răscumpărare
HotNews a relatat, citând o sursă la curent cu incidentul, că autoritățile cercetează inclusiv posibilitatea ca gruparea din spatele atacului să fi transmis o cerere de răscumpărare. Alte publicații au menționat că printre fișierele compromise s-ar afla și un program de tip ransomware introdus în sistemele ANCPI – un detaliu neconfirmat oficial, dar consistent cu criptarea unor fișiere semnalată în capturile publicate de atacator.
(surse: HotNews, Cotidianul, ZF)
Interviul cu ByteToBreach
Pe fondul acestor informații contradictorii,Daniel Pitiș, de la SecurityPatch.ro, a reușit să contacteze direct persoana care își asumă atacul, sub pseudonimul ByteToBreach. Din discuția purtată prin mesagerie, cu condiția anonimatului, reies câteva detalii relevante:
- Punctul de intrare ar fi fost o vulnerabilitate „simplă”, fără a fi vorba despre un exploit de tip 0-day sau ceva sofisticat; restul atacului ar fi presupus pivotare laterală într-o rețea descrisă drept „uriașă, cu multe subrețele”.
- Atacatorul susține că datele au fost copiate din mai multe surse din rețea, iar unele fișiere au fost criptate – însă bazele de date principale ar fi fost doar exfiltrate, nu și criptate.
- A negat orice motivație politică sau legătură cu un grup statal, respingând explicit ideea unei implicări rusești.
- Afirmă că acționează independent, nu în cadrul unui grup, și spune că este activ în domeniu de aproximativ 16 ani.
- Ca „răscumpărare”, cere de la ANCPI un salariu în schimbul asistenței pentru decriptarea fișierelor – o cerere neobișnuită față de formatul clasic al unei sume unice, dar care sugerează totuși intenția de a negocia.
- Întrebat despre impactul asupra cetățenilor ale căror date de proprietate sunt ținute în sistemul compromis, a spus că regretă situația, dar consideră că responsabilitatea este „împărțită și de guvern”.
Autenticitatea integrală a afirmațiilor nu poate fi verificată independent, iar ele contrazic parțial poziția oficială a ANCPI. Rămân, în esență, varianta atacatorului asupra propriilor fapte.
(sursă: SecurityPatch.ro — interviu cu ByteToBreach, de Daniel Pitiș)
Fișierele publicate de atacator
Odată cu revendicarea atacului, a apărut și un folder distribuit public, prezentat drept conținând fișiere exfiltrate din rețeaua ANCPI – printre care, potrivit informațiilor disponibile, și credențiale de acces.
Sursa: [h][t][t][p][s][:]//drive.google.com/drive/folders/1fa5ml2BBGEbiXk5RJR6_byrs-1YxP__U
Odată cu revendicarea atacului, a apărut și un folder distribuit public, prezentat drept conținând fișiere exfiltrate din rețeaua ANCPI – printre care, potrivit informațiilor disponibile, și credențiale de acces.
Sursa: [h][t][t][p][s][:]//drive.google.com/drive/folders/1fa5ml2BBGEbiXk5RJR6_byrs-1YxP__U
Contractul de 2,5 milioane de lei pentru securitate cibernetică
O investigație separată, realizată tot de Public Record și preluată de ZF, a scos la iveală faptul că ANCPI derulează, din 2019, două acorduri-cadru pentru servicii de securitate informatică, ambele atribuite firmei IT About IT SRL – primul în valoare de aproape 950.000 de lei, al doilea, din 2023, de aproximativ 1,5 milioane de lei, cu o durată de 48 de luni. Conform documentelor citate, timpii de intervenție contractuali pentru incidente „critice” erau de doar două ore, iar pentru cele „majore”, de opt ore. Aceeași investigație notează însă că textul contractual nu conține prevederi clare despre recuperarea datelor în cazul unui atac reușit și nu face nicio referire explicită la un sistem de backup, ci doar la carantinarea fișierelor suspecte.
(surse: Public Record, ZF, Mediafax)
Pe hârtie, deci, ANCPI nu a stat deloc rău: bugete alocate an de an, contracte-cadru semnate, timpi de răspuns definiți contractual, presupunem și proceduri trecute prin SEAP, poate și câteva rapoarte de audit de conformitate depuse la timp. Și totuși, sistemul a picat trei zile, iar un atacator descris chiar de el însuși ca folosind „o vulnerabilitate simplă” a reușit să pivoteze liber într-o rețea guvernamentală întreagă. Asta e, de fapt, esența problemei: degeaba cumperi tool-uri de securitate dacă nu le implementezi corect, și degeaba faci audituri dacă ele există doar ca să bifezi o cerință de conformitate, nu ca să găsească – și să și repare – problemele reale. Un contract de mii de pagini și o factură de 2,5 milioane de lei nu opresc un atac dacă, în spate, patch-urile nu se aplică, rețeaua nu e segmentată și nimeni nu testează realist ce s-ar întâmpla dacă cineva chiar ar încerca să intre.
Securitatea cibernetică nu e un document semnat sau o linie bugetară – e ceea ce se întâmplă efectiv, zi de zi, în infrastructură. Iar când o instituție care administrează dreptul de proprietate al tuturor cetățenilor României cade timp de trei zile în fața unei vulnerabilități descrise drept banale, nu mai e un incident izolat de IT.
Ne afectează pe toți, indiferent dacă avem sau nu o tranzacție imobiliară în curs chiar acum – pentru că următoarea instituție care va pica din aceleași motive s-ar putea să fie una de care chiar depindem în acel moment.
Nu este un caz izolat
Incidentul de la ANCPI se înscrie într-un val mai larg de atacuri asupra infrastructurii digitale a statului român. HotNews a semnalat că, în aceeași perioadă, și platforma de plăți Ghișeul.ro a fost vizată de tentative de atac, iar un oficial a avertizat public că orice instituție „trebuie să pornească mereu de la premisa că poate fi o victimă”. În decembrie 2025, Administrația Națională Apele Române fusese, la rândul ei, ținta unui atac cibernetic ce a afectat circa 1.000 de sisteme informatice.
Ce urmează
Pentru moment, rămân deschise mai multe întrebări esențiale: care este amploarea reală a datelor exfiltrate, dacă acestea includ informații cu caracter personal ale cetățenilor sau doar componente de infrastructură și cod sursă, și dacă statul român va negocia în vreo formă cu atacatorul. Până la publicarea unui raport oficial post-incident din partea ANCPI și a autorităților de securitate cibernetică, singurele surse de informație rămân investigațiile jurnalistice, sursele de threat intelligence și materialele publicate chiar de presupusul autor al atacului.
Ceea ce se conturează deja, indiferent de rezultatul investigației, este un tipar familiar în breșele care lovesc infrastructura critică din România: nu neapărat o operațiune sofisticată sprijinită de un stat, ci vulnerabilități cunoscute, într-o rețea guvernamentală vastă și insuficient segmentată – o problemă de igienă cibernetică de bază, nu de sofisticare a atacatorului.
Indicatori & surse
http[:]//bytetobreach[.]combytetobreach[.]onlinebytetobreach[.]xyz- https://whitehat.ng/advisories/breachgate-advisory/
- https[:]//spear.cx/Thread-Selling-RO-Thy-arss-shall-be-spanked-Romania-ANCPI
- https[:]//drive.google.com/drive/folders/1fa5ml2BBGEbiXk5RJR6_byrs-1YxP__U
- https[:]//www.mediafire.com/folder/zhid15c…A_CADASTRI
- https[:]//drive.google.com/drive/folders/1…sp=sharing
- https[:]//ln5.sync.com/dl/c51992de0#q84wu7…7-98k9g3fp
- https[:]//pwnforums.st/Thread-DATABASE-RO-Thy-arss-shall-be-spanked-Romania-ANCPI
- https://darkwebinformer.com/romanian-land-registry-agency-ancpi-allegedly-breached-and-hit-with-ransomware-citizen-data-and-source-code-for-sale/




