Román energiaszolgáltató a Lynx ransomware áldozata
A román Nemzeti Kiberbiztonsági Igazgatóság (DNSC) szerint a Lynx ransomware csoport betört a román Electrica Group hálózatába, amely az ország egyik legnagyobb áramszolgáltatója. Az Electrica 2000-ben vált független vállalattá, miután 1998-ban a Nemzeti Villamosenergia-ipari Vállalat (CONEL) részlegeként jött létre. Az Electrica 2014 óta a londoni és a bukaresti tőzsdén is jegyzik. A vállalat jelenleg több mint 3,8 millió felhasználónak nyújt áramszolgáltatást, karbantartást és egyéb energetikai szolgáltatásokat Erdélyben és Havasalföldön. Az Electrica 2024. december 9-én figyelmeztette a befektetőket, hogy a nemzeti kiberbiztonsági hatóságokkal együttműködve vizsgálódik egy folyamatban lévő ransomware támadás ügyében. Sebastian Burduja román energiaügyi miniszter hozzátette, hogy a vállalat SCADA- és más kritikus rendszereit elszigetelték, és azokat nem érintette a támadás.
December 11-én a DNSC nyilvánosságra hozta, hogy a Lynx ransomware csoport volt felelős az incidensért. Egy YARA-szkriptet is rendelkezésre bocsátottak, hogy segítsen más biztonsági csapatoknak ellenőrizni a hálózatukon az IOC-kat. „A rendelkezésre álló adatok alapján a kritikus energiaellátó rendszerek nem érintettek és működőképesek, a vizsgálat jelenleg is folyik – közölte a DNSC.
A Lynx ransomware legalább 2024 júliusa óta aktív, augusztus óta több mint 78 áldozatot adott hozzá a leak oldalához. A bejelentett áldozatok között több amerikai létesítmény és több mint 20 szervezet szerepel az energia-, olaj- és gázágazatból, amelyek 2024 júliusa és 2024 novembere között kerültek fel az oldalra. A Lynx üzemeltetői egy olyan encryptort használnak, amely valószínűleg az INC Ransom malware forráskódján alapul, amelyet állítólag májusban 300 000 dollárért kínáltak eladásra az Exploit és XSS hackerfórumokon. Ez azonban lehet egy rebranding is az Inc ransomware csoport részéről.
