Η Εθνική Διεύθυνση Κυβερνοασφάλειας της Ρουμανίας (DNSC) λέει ότι η συμμορία ransomware Lynx βρίσκεται πίσω από την πρόσφατη επίθεση στην Electrica Group, μια από τις μεγαλύτερες εταιρείες ηλεκτρικής ενέργειας στη χώρα.
![Electrica Lynx ransomware](https://cdnglobal.secnews.gr/wp-content/uploads/2024/12/12103523/Lynx-ransomware-electrica-roumania-1024x683.jpg)
Η Electrica ιδρύθηκε ως τμήμα της Εθνικής Εταιρείας Ηλεκτρισμού (CONEL) το 1998 και έγινε ανεξάρτητη οντότητα το 2000.
Τη Δευτέρα, η Electrica προειδοποίησε τους επενδυτές για μια «συνεχιζόμενη» επίθεση ransomware, την οποία ερευνούσε σε συνεργασία με τις εθνικές αρχές κυβερνοασφάλειας.
“Θέλουμε να τονίσουμε ότι τα κρίσιμα συστήματα του Ομίλου δεν έχουν επηρεαστεί και οποιεσδήποτε διαταραχές στην αλληλεπίδραση με τους καταναλωτές μας είναι αποτέλεσμα προστατευτικών μέτρων για την εσωτερική υποδομή“, είχε δηλώσει ο διευθύνων σύμβουλος της Electrica, Alexandru Aurelian Chirita.
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Δείτε επίσης: Η Sichuan Silence κατηγορείται για επιθέσεις ransomware
Η εταιρεία ηλεκτρικής ενέργειας δεν είχε αποκαλύψει επίσημα τη φύση της επίθεσης, αλλά το Υπουργείο Ενέργειας ανέφερε ότι η Electrica έπεσε θύμα επίθεσης ransomware που ευτυχώς δεν είχε επηρεάσει τα συστήματα SCADA που χρησιμοποιούνται για τον έλεγχο και την παρακολούθηση του δικτύου διανομής της.
Σήμερα, η DNSC, μία από τις αρχές κυβερνοασφάλειας που συμμετείχαν στην έρευνα, αποκάλυψε ότι η επιχείρηση ransomware Lynx ήταν υπεύθυνη για την επίθεση στην Electrica. Παρείχε επίσης ένα YARA script για να βοηθήσει άλλες ομάδες ασφαλείας να εντοπίσουν σημάδια παραβίασης στα δίκτυά τους.
“Με βάση τα διαθέσιμα δεδομένα, τα κρίσιμα συστήματα τροφοδοσίας δεν έχουν επηρεαστεί και είναι λειτουργικά, και η έρευνα βρίσκεται σε εξέλιξη. Σε περίπτωση μόλυνσης από ransomware, η Διεύθυνση συνιστά σθεναρά να μην πληρώσει κανείς τα λύτρα που ζήτησαν οι εισβολείς“, είπε η DNSC.
“Η DNSC συνιστά σε όλες τις οντότητες, ειδικά εκείνες στον τομέα της ενέργειας να σαρώσουν (μέσω του YARA scan script) τη δική τους υποδομή IT&C για κακόβουλο binary (encryptor), είτε επηρεάστηκαν είτε όχι από την επίθεση ransomware“.
Δείτε επίσης: Black Basta ransomware: Όλες οι νέες τακτικές που χρησιμοποιεί
Ποια είναι η συμμορία Ransomware Lynx που επιτέθηκε στην Electrica;
Το Lynx ransomware είναι ενεργό τουλάχιστον από τον Ιούλιο του 2024 και έχει πάνω από 78 θύματα στον ιστότοπό του για διαρροές δεδομένων.
Σύμφωνα με το Center for Internet Security (CIS), ο κατάλογος των θυμάτων περιλαμβάνει πολλές εγκαταστάσεις των ΗΠΑ και περισσότερες από 20 οντότητες από τους τομείς της ενέργειας, του πετρελαίου και του φυσικού αερίου.
Οι χειριστές του Lynx έχουν χρησιμοποιήσει έναν encryptor που πιθανότατα βασίζεται στον source code του κακόβουλου λογισμικού INC Ransom, που φέρεται να τέθηκε προς πώληση στα φόρουμ hacking Exploit και XSS τον Μάιο. Ωστόσο, θα μπορούσε να πρόκειται και για την ίδια συμμορία (INC RANSOM), η οποία μπορεί να άλλαξε όνομα για να ξεφύγει από την παρακολούθηση των αρχών επιβολής του νόμου.
Η συμμορία ransomware Lynx δεν έχει αναλάβει επίσημα την επίθεση ούτε έχει προσθέσει την Electrica ως θύμα στον ιστότοπο διαρροής δεδομένων. Η είδηση έγινε γνωστή από την Εθνική Διεύθυνση Κυβερνοασφάλειας της Ρουμανίας.
![](https://cdnglobal.secnews.gr/wp-content/uploads/2024/07/16121613/ransomware-92-1024x559-1.png)
Οι εταιρείες ενέργειας μπορούν να ενισχύσουν την ασφάλειά τους κατά των κυβερνοεπιθέσεων με την εφαρμογή ενός ολοκληρωμένου πλάνου ασφάλειας. Αυτό περιλαμβάνει την ανάπτυξη και την τήρηση πολιτικών και διαδικασιών ασφαλείας, καθώς και την εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας. Η ενίσχυση της ευαισθητοποίησης των εργαζομένων σχετικά με τις απειλές και τις βασικές πρακτικές ασφαλείας είναι ζωτικής σημασίας για την προστασία των συστημάτων της εταιρείας.
Δείτε επίσης: Artivion: Ransomware επίθεση “χτύπησε” τον κατασκευαστή ιατρικών συσκευών
Επιπλέον, η ενίσχυση της φυσικής ασφάλειας είναι εξίσου σημαντική. Οι ενεργειακές εταιρείες πρέπει να εφαρμόζουν αυστηρά μέτρα πρόληψης, όπως έλεγχο της πρόσβασης στις εγκαταστάσεις και εγκατάσταση τεχνολογιών, όπως κάμερες και συστήματα ανίχνευσης κίνησης. Επιπλέον, η περιοδική αξιολόγηση των ευπαθειών του συστήματος και η εφαρμογή ενημερωμένων τεχνολογιών ασφαλείας είναι απαραίτητες για την αποτροπή και ανίχνευση πιθανών κυβερνοεπιθέσεων.
Πιο συγκεκριμένα μέτρα για ransomware
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
• Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
• Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
• Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
• Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
• Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
• Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
• Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
• Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
• Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
• Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: www.bleepingcomputer.com