Gruparea ransomware Lynx a adăugat Societatea Energetică Electrica S.A. pe lista publică de victime, confirmând furtul de date de pe sistemele companiei prin publicarea unor documente.

Atacul a avut loc pe 9 decembrie și a vizat rețeaua companiei și nu cea de producție. Hackerii au reușit să lanseze utilitarul de criptare de date iar compania a informat la momentul respectiv că sistemele critice nu au fost afectate.

Criptare și furt de date

Publicarea unor documente furate de la Grupul Electrica este o indicație că scopul hackerilor de a primi o răscumpărare a eșuat.

Deocamdată, hackerii au publicat două contracte, unul de furnizare de produse și altul de execuție de lucrări, informații ce nu au o importanță deosebită pentru operațiunile companiei.

Deși Lynx ransomware afișează data publicării datelor ca fiind 10 decembrie, Societatea Energetică Electrica S.A. a apărut astăzi pe lista de victime a grupării.

Gruparea Lynx funcționează după modelul ransomware-as-a-service (RaaS), prin care dezvoltatorii de malware pun la dispoziția unor parteneri o întreagă infrastructură pentru generarea de variante ale criptorului, administrarea datelor furate, și negocierea recompenselor plătite de victime.

Conform grupării, partenerii Lynx primesc binare pentru criptarea sistemelor Windows, Linux, și ESXi (hypervisor-ul de tip 1 de la VMware) pentru un impact maxim asupra rețelelor eterogene.

Împărțirea recompenselor se face 80/20, cea mai mare parte revenind partenerului/afiliatului care se ocupă de negocieri și are și libertatea de a publica datele furate pe site-ul de „știri”.

Hackerii pretind că nu atacă organizații guvernamentale, din domeniul sănătății, și cele non-profit „pentru că acestea joacă un rol vital în societate”.