Το Lynx ransomware πίσω από την κυβερνοεπίθεση του προμηθευτή ενέργειας Electrica

​Η Εθνική Διεύθυνση Κυβερνοασφάλειας της Ρουμανίας (DNSC) λέει ότι η συμμορία ransomware Lynx παραβίασε την Electrica Group, μία από τις μεγαλύτερους προμηθευτές ηλεκτρικής ενέργειας στη χώρα.

Η Electrica έγινε ανεξάρτητη εταιρεία το 2000 αφού ιδρύθηκε ως τμήμα της Εθνικής Εταιρείας Ηλεκτρισμού (CONEL) το 1998. Από το 2014, η Electrica είναι εισηγμένη στα χρηματιστήρια του Λονδίνου και του Βουκουρεστίου.

Η εταιρεία παρέχει τώρα προμήθεια, συντήρηση και άλλες ενεργειακές υπηρεσίες σε περισσότερους από 3,8 εκατομμύρια χρήστες σε όλη τη Muntenia και την Τρανσυλβανία.

Η Electrica προειδοποίησε τους επενδυτές τη Δευτέρα ότι ερευνά μια «συνεχιζόμενη» επίθεση ransomware σε συνεργασία με τις εθνικές αρχές κυβερνοασφάλειας. Ο υπουργός Ενέργειας της Ρουμανίας Sebastian Burduja πρόσθεσε ότι το SCADA και άλλα κρίσιμα συστήματα της εταιρείας ήταν απομονωμένα και ανεπηρέαστα από την επίθεση.

Σήμερα, η DNSC, μία από τις αρχές που συμμετείχαν στην έρευνα, αποκάλυψε ότι η επιχείρηση ransomware Lynx ήταν υπεύθυνη για το περιστατικό. Παρείχε επίσης ένα σενάριο YARA για να βοηθήσει άλλες ομάδες ασφαλείας να εντοπίσουν σημάδια συμβιβασμού στα δίκτυά τους.

“Με βάση τα διαθέσιμα δεδομένα, τα κρίσιμα συστήματα τροφοδοσίας δεν έχουν επηρεαστεί και είναι λειτουργικά, και η έρευνα βρίσκεται σε εξέλιξη. Σε περίπτωση μόλυνσης από ransomware, η Διεύθυνση συνιστά ανεπιφύλακτα να μην πληρώσει κανείς τα λύτρα που ζητούν οι επιτιθέμενοι.” είπε η DNSC.

“Η DNSC συνιστά σε όλες τις οντότητες, ειδικά εκείνες στον τομέα της ενέργειας, είτε επηρεάστηκαν είτε όχι από την επίθεση ransomware, που υποστηρίζεται από την ομάδα εγκλήματος στον κυβερνοχώρο LYNX Ransomware, να σαρώσουν τη δική τους υποδομή IT&C για κακόβουλο δυαδικό (κρυπτογράφηση) χρησιμοποιώντας το σενάριο σάρωσης YARA .

Η λειτουργία ransomware Lynx

Το Lynx ransomware είναι ενεργό τουλάχιστον από τον Ιούλιο του 2024, προσθέτοντας πάνω από 78 θύματα στον καθαρό ιστότοπό του για διαρροές δεδομένων από τον Αύγουστο.

Σύμφωνα με το Κέντρο για την Ασφάλεια Διαδικτύου (CIS)ο κατάλογος των θυμάτων περιλαμβάνει πολλές εγκαταστάσεις των ΗΠΑ και περισσότερες από 20 οντότητες από τους τομείς της ενέργειας, του πετρελαίου και του φυσικού αερίου, που προστέθηκαν μεταξύ Ιουλίου 2024 και Νοεμβρίου 2024.

Χειριστές Lynx έχουν χρησιμοποιήσει ένας κρυπτογραφητής που πιθανότατα βασίζεται στον πηγαίο κώδικα του κακόβουλου λογισμικού INC Ransom που φέρεται να τέθηκε προς πώληση στα φόρουμ hacking Exploit και XSS για 300.000 $ τον Μάιο. ​Ωστόσο, αυτό θα μπορούσε επίσης να είναι μια προσπάθεια αλλαγής επωνυμίας για να βοηθήσει την INC RANSOM να λειτουργεί υπό λιγότερο έλεγχο επιβολής του νόμου.

Η BleepingComputer επιβεβαίωσε τον Αύγουστο ότι το Lynx ransomware και οι πρόσφατοι κρυπτογραφητές INC ήταν ως επί το πλείστον οι ίδιοι με βάση μια ανάλυση συμβολοσειρών.

Από τότε που εμφανίστηκε ως λειτουργία ransomware-as-a-service (RaaS) τον Ιούλιο του 2023, το INC Ransom έχει επίσης παραβιάσει πολλές οντότητες εκπαίδευσης, υγείας, κυβέρνησης και βιομηχανίας, όπως η Yamaha Motor Philippines, η Εθνική Υπηρεσία Υγείας της Σκωτίας (NHS) και το τμήμα των ΗΠΑ της Xerox Business Solutions (XBS).

Η συμμορία ransomware Lynx δεν έχει διεκδικήσει επίσημα την επίθεση ούτε έχει προσθέσει την Electrica ως θύμα στον ιστότοπο διαρροής δεδομένων, υποδηλώνοντας ότι οι εισβολείς δεν έχουν έρθει ακόμη σε επαφή ή ήδη πιέζουν την εταιρεία να ικανοποιήσει τις απαιτήσεις τους για λύτρα.

Η επίθεση ransomware Electrica έρχεται μετά το Συνταγματικό Δικαστήριο της Ρουμανίας (CCR) ακυρώθηκε Οι φετινές προεδρικές εκλογές βασίστηκαν σε εκτενείς πληροφορίες ότι μια τεράστια εκστρατεία επιρροής του TikTok που συνδέεται με τη Ρωσία επηρέασε τα αποτελέσματα του πρώτου γύρου των εκλογών.

Η Υπηρεσία Πληροφοριών της Ρουμανίας (SRI) αποχαρακτηρίζει επίσης μια έκθεση που αποκαλύπτει ότι περισσότερες από 85.000 κυβερνοεπιθέσεις στόχευσαν την εκλογική υποδομή της χώρας μεταξύ 19 Νοεμβρίου και 25 Νοεμβρίου, τη νύχτα μετά τον πρώτο γύρο προεδρικών εκλογών.

Τον Φεβρουάριο, μια επίθεση ransomware στο Backmydata ανάγκασε πάνω από 100 νοσοκομεία σε όλη τη Ρουμανία να θέσουν εκτός σύνδεσης τα συστήματά τους, αφού διέκοψε το σύστημα διαχείρισης υγειονομικής περίθαλψης.