Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Grupul Electrica atacat de gruparea ransomware Lynx

Atacul cibernetic de luni asupra Grupului Electrica a fost atribuit grupării ransomware Lynx, a anunțat Directoratul Național de Securitate Cibernetică (DNSC).

Grupul Electrica a raportat pe 9 decembrie că este ținta unui atac cibernetic în desfășurare și că ”echipele de specialiști colaborează strâns cu autoritățile naționale în domeniul securității cibernetice pentru gestionarea și remedierea incidentului.”

Compania a spus că sistemele critice nu sunt afectate și că orice disfuncționalitate în interacțiunea cu cei peste 3,8 milioane de consumatori din România se datorează măsurilor de protecție a infrastructurii interne.

Ministrul Energiei Sebastian Burduja a spus că atacul nu a afectat sistemele SCADA (Supervisory Control and Data Acquisition) ale companie, responsabile pentru controlul, monitorizarea, și analiza dispozitivelor și proceselor industriale.

De obicei, grupările ransomware vizează rețelele interne ale companiilor pentru a cripta și/sau fura date, pentru care mai apoi se cere o recompensă în monedă virtuală.

În ultima vreme, grupurile ransomware mari nu mai criptează datele, ci doar le fură. Acest lucru face ca atacul să dureze mai puțin, diminuând șansele să fie descoperit și oprit în timp util de către victimă.

Având datele unei companii victimă, infractorii cibernetici pot cere o recompensă sub promisiunea că nu le vor face publice, dar de multe ori aceștia le vând sau le distribuie altor actori care le pot folosi în alte atacuri.

În comunicatul de azi, DNSC a postat o regulă YARA care detectează binarul de criptare folosit de Lynx ransomware în atacul ransomware asupra Electrica, pentru a fi preluată și de alte entități care vor să-și protejeze infrastructura de atacuri similare.

Instituția a emis și un set de recomandări pentru victimele unui atac ransomware. Cea mai importantă dintre ele este să nu plătească răscumpărarea cerută de infractori.

O soluție eficientă de a relua activitatea cât mai repede după un atac ransomware este crearea de copii de rezervă (backup) pentru datele companiei și actualizarea lor constantă. Backup-urile trebuie păstrate în siguranță (preferabil offline), astfel încât să fie ferite de contaminarea cu malware.

DNSC mai recomandă următoarele:

  • identificarea sistemelor afectate și izolarea lor de restul rețelei interne și internet
  • păstrarea unei copii a mesajului de răscumpărare și orice alte comunicări de la atacatori
  • păstrarea/colectarea log-urilor relevante de pe echipamentele afectate precum și de pe dispozitive de rețea și firewall
  • examinarea log-urilor pentru identificarea metodei de compromitere a infrastructurii IT&C
  • informarea angajaților și notificarea clienților/partenerilor afectați despre incident și amploarea sa
  • sanitizarea completă a sistemelor afectate și restaurarea sistemelor din copiile de rezervă
  • menținerea tuturor programelor și sistemelor de operare actualizate la ultimele versiuni, și luarea de măsuri pentru mitigarea vulnerabilităților care nu pot fi reparate imediat

De asemenea, companiile pot apela la diferite organizații care în unele cazuri pot ajuta cu procesul de decriptare. Astfel, Europol, prin programul NoMoreRansom și compania de securitate Emsisoft pun la dispoziție utilitare de decriptare gratuite pentru anumite familii și versiuni de ransomware.

Un alt serviciu este IDRansomware, care poate ajuta la identificarea tipului de ransomware folosit in atac. La momentul actual serviciul poate identifica peste 1,150 de tipuri și versiuni de ransomware in baza mesajului de răscumpărare și/sau a unui fișier criptat.

Grupul ransomware Lynx este motivat financiar și activează din luna iulie a acestui an. Pretinde că are o politică fermă de a nu ataca organizații guvernamentale, din domeniul sănătății, și cele non-profit ”pentru că acestea joacă un rol vital în societate”.

Pe site-ul cu victime ale grupării sunt listate peste 63 de companii, mai mult de 20 fiind din sectorul energetic. Până acum gruparea nu a revendicat atacul asupra Grupului Electrica.

Deocamdată, nici autoritățile și nici Grupul Electrica nu a menționat dacă gruparea ransomware Lynx a furat de pe rețeaua internă date aparținând clienților, angajaților, sau partenerilor, dar compania recomandă consumatorilor să fie vigilenți la mesaje suspecte, mai ales dacă se cer date personale.

 

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna