Атаките с рансъмуер продължават да нанасят щети на големи инфраструктурни обекти
(снимка: CC0 Public Domain)
Корпоративните мрежи на енергийната компания Creos Luxembourg бяха атакувани от рансъмуера BlackCat/ALPHV. Откраднати са 150 гигабайта данни данни. Creos Luxembourg е голям оператор на електропреносна мрежа и газопровод в Централна Европа, който доставя енергия на пет страни от ЕС.
Компанията Encevo, собственик на Creos, обяви на 25 юли, че два дни по-рано е претърпяла интензивна кибератака, която е направила порталите за клиенти недостъпни. В същото време технологичните операции не са прекъсвани и потребителите са получили заявените ресурси в пълен обем.
На 28 юли компанията уточни, че нападателите са успели да извлекат „определено количество данни” от компрометирани информационни системи. Encevo обеща да разкрие какви точно данни са били откраднати и да създаде специален уебсайт за тази цел. Оттогава няма повече публични коментари от оператора на тръбопровода.
Но подробности идват от самите нападатели. На уебсайта си, който използва като допълнителен инструмент за изнудване, рансъмуер бандата е добавила Creos към списъка с жертвите си. Посочва се също, че нападателите са откраднали 180 000 файла с общ обем 150 GB – договори, споразумения, паспорти, сметки и електронна кореспонденция. Съдейки по заканата да направят всичко откраднато обществено достояние, очевидно нападателите не са успели да получат желания откуп.
BlackCat се счита за нова итерация на групата за рансъмуер DarkSide. През пролетта на 2021 г. тя атакува най-големия американски тръбопровод Colonial Pipeline, в резултат на което корпоративните мрежи на компанията бяха блокирани. Нарушено бе и снабдяването с гориво, поради което няколко щата обявиха извънредно положение.
След тази акция американските правоприлагащи органи се ангажираха тясно с групировката: нейната инфраструктура беше унищожена за броени дни. Освен това руските групи за рансъмуер REvil и Avaddon временно преминаха в затворен режим, а популярният рускоезичен хакерски форум XSS забрани всяко споменаване на рансъмуер.
По-късно DarkSide беше преименувана на BlackMatter (въпреки че има някои съмнения относно това). Публикация на Bleeping Computer твърди, че DarkSide е имала ново „ребрандиране” през ноември 2021 г., наричайки себе си BlackCat/ALPHV. Тази група досега е избягвала големи цели в САЩ, но е доста склонна да торпилира цели в Европа.
През февруари BlackCat нападна германската петролна фирма Oiltanking, а сега групата успешно атакува друг оператор на критична инфраструктура – Creos. BlackCat вече е обект на редица разследвания, след като атакува още австрийското правителство, верига за дрехи в Италия и доставчик на летищни услуги в Швейцария.