Поделиться
Румынский энергогигант Electrica Group пострадал от атаки шифровальщика
Electrica Group – один из крупнейших румынских поставщиков электроэнергии – в начале недели подвергся масштабной кибератаке. Власти Румынии уже определили наиболее вероятного виновника – это шифровальщик Lynx.
Нападение «рыси»
Власти Румынии заявили, что за недавней кибератакой на одного из крупнейших национальных поставщиков электроэнергии Electrica Group стоит шифровальная группировка Lynx.
Electrica Group с 2000 г. является независимой компанией. С 2014 г. ее акции торгуются на биржах Лондона и Бухареста. Она обеспечивает электроэнергией и смежными услугами более 3,8 млн человек.
В минувший понедельник компания признала, что находится под активной кибератакой. Впрочем, критические системы, в том числе, связанные с производством и распределением электричества, атака не затронула, поскольку они изолированы от публичных сетей.
Национальный директорат по кибербезопасности Румынии участвует в расследовании инцидента. Именно его специалисты установили причастность группировки Lynx. В опубликованном заявлении ведомства настоятельно рекомендуется не платить выкуп злоумышленникам. Всем организациям в стране рекомендовано проверить свои системы на предмет присутствия в них следов злоумышленников, – для этого уже выпущен скрипт YARA, который позволит выявить признаки компрометации.
Lynx – сравнительно новый игрок на плотно заселенном поле шифровальщиков, и очень активный. С июля 2024 г. они успели атаковать более 78 жертв – во всяком случае, именно столько организаций упомянуты на сайте «утечек» Lynx. Объектами атак нередко становятся как раз поставщики электроэнергии, нефтяные и газовые компании.
Переоблицовка
Lynx использует, по-видимому, тот же самый шифровальный модуль, которым ранее пользовалась другая группировка – INC Ransom. В мае исходный код этой программы был, по некоторым данным, выставлен на торги на хакерских форумах Exploit и XSS со стартовой ценой $300 тыс. Впрочем, как указывается в материале издания Bleeping Computer, торги могли быть лишь прикрытием для переоблицовки INC в Lynx, чтобы снизить степень внимания со стороны правоохранительных органов.
Еще в августе эксперты Bleeping Computer выяснили, что различия в коде между шифровальщиком Lynx и модулем INC малозначительны.
INC появился тоже сравнительно недавно – в июле 2023 г. За свою недолгую историю эта группировка смогла успешно атаковать такие корпорации как Yamaha Motor Philippines, Xerox Business Solutions (в США), а также Национальную службу здравоохранения в Шотландии.
Что же касается атаки на Electrica, то пока что группировка Lynx не взяла на себя ответственность за атаку и не опубликовала никаких данных на своем сайте. Вероятно, сейчас ведутся переговоры с вымогателями.
«Шифровальщики-вымогатели твердо обосновались среди ключевых киберугроз на планете, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Статистика показывает, что пострадавшие от таких атак организации редко могут восстановиться за короткий срок и далеко не всегда могут вернуть себе доступ ко всем данным, пострадавшим при атаке. Ключевой вывод: необходимо осознавать возможность атаки всегда и создавать актуальные резервные копии всех значимых данных, даже если это требует вложений».
Эксперт добавила, что устранение последствий атаки обычно выходит дороже, чем принятие профилактических мер.
Короткая ссылка
