Zsarolóvírus-támadás érte a romániai Oltenia Energy Complexet (Complexul Energetic Oltenia), Románia legnagyobb szénalapú hőerőműjét karácsony második napján, amelynek következtében a vállalat IT-infrastruktúrája működésképtelenné vált.
A több mint 40 éve működő energetikai vállalat több mint 19 000 munkavállalót foglalkoztat, négy erőművet üzemeltet, összesen 3900 MWh energiatermeléssel, mely Románia villamosenergia-termelésének mintegy 30%-át biztosítja.
A vállalat tájékoztatása szerint a támadás következtében bizonyos dokumentumok és fájlok titkosításra kerültek, valamint átmenetileg elérhetetlenné vált több kritikus üzleti alkalmazás, köztük az ERP-rendszerek, a dokumentumkezelő megoldások, a vállalati levelezés és a cég weboldala is.
A közlemény hangsúlyozta, hogy a vállalat működését a támadás csak részben érintette, és nem veszélyeztette a román nemzeti energiahálózat működését. Az Oltenia Energy Complex együttműködik az illetékes hatóságokkal, és mindent megtesz annak érdekében, hogy az IT-rendszereket a lehető legrövidebb idő alatt teljeskörűen helyreállítsa.
A támadás észlelését követően az informatikai csapatok új infrastruktúrán kezdték meg az érintett rendszerek újraépítését, a rendelkezésre álló biztonsági mentések felhasználásával. Jelenleg is folyamatban van az incidens hatásvizsgálata, illetve annak elemzése, hogy a támadók a titkosítás előtt jogosulatlanul hozzáférhettek-e, illetve eltulajdonítottak-e adatokat.
Az esetet jelentették a román Nemzeti Kiberbiztonsági Igazgatóságnak, az Energiaügyi Minisztériumnak, valamint más illetékes szerveknek. Emellett a vállalat büntetőfeljelentést tett a DIICOT-nál (Directorate for Investigating Organized Crime and Terrorism), amely a szervezett bűnözés és a kiberbűncselekmények felderítéséért felelős román hatóság.
A támadás a Gentlemen nevű zsarolóvírus-csoporthoz köthető, amely 2024 augusztusában bukkant fel, és gyakori módszerei közé tartozik a kompromittált hitelesítő adatokkal való visszaélés, valamint az internetről elérhető szolgáltatások kihasználása a kezdeti behatolás során. A csoport jellemzően egy README-GENTLEMEN[.]txt nevű váltságdíj-üzenetet helyez el a megtámadott rendszereken, és a fájlokat [.]7mtzhh kiterjesztéssel titkosítja.
Megjelenése óta a Gentlemen-csoport közel ötven áldozatot sorolt fel a Tor hálózaton elérhető (dark weben) adatszivárogtató oldalán, azonban az Oltenia Energy Complex neve egyelőre nem szerepel a listán, ami arra utalhat, hogy a váltságdíjról szóló egyeztetések még folyamatban vannak.
Az elmúlt években számos jelentős zsarolóvírus-incidens sújtotta a román vállalatokat és intézményeket. Egy évvel ezelőtt például az Electrica Group, Románia egyik meghatározó villamosenergia-szolgáltatója és -elosztója, a Lynx zsarolóvírus-csoport áldozatává vált, míg 2024 februárjában több mint 100 román kórház volt kénytelen leállítani informatikai rendszereit, miután a Backmydata zsarolóvírus megbénította az egészségügyi menedzsmentrendszereiket.
