Kihasznált rendszergazda
A CONPET S.A. – Románia nemzeti olajvezeték-üzemeltetője ellen 2026. február 3-án végrehajtott ransomware-támadás nem egyszerű betörés volt, hanem egy infostealer-fertőzés láncolatának a végkifejlete. A kifinomult támadási mintát a Hudson Rock kutatói írták le, akik szerint egy IT-adminisztrátor személyes gépén egy infostealer lopott el több tucat hitelesítési adatot, köztük VPN-hozzáféréseket és belső eszközök, például hálózatfigyelő és WSUS frissítési rendszerek belépési kulcsait. Ez a hatalmas mennyiségű, jogosultságokkal rendelkező információ gyakorlatilag kulcsot adott a támadóknak a vállalati környezetbe való belépéshez és oldalirányú mozgáshoz.
Ezek után a Qilin ransomware-csoport, amely egy Ransomware-as-a-Service (RaaS)-műveletként ismert, és 2025–26 folyamán több nagy volumenű incidensnél szerepelt, kihasználta a megszerzett hitelesítési adatokat, és rust alapú ransomware kódot telepített a vállalat rendszerébe, zárolva adatait és mintegy 1 terabájt információt kiszivárogtatva.
A támadás során a cég szerint a SCADA-rendszerek üzemeltetési oldala nem sérült, így a fizikai olajszállítás folyamatos maradt, de a vállalat IT-infrastruktúrája súlyosan megbénult, a honlap is elérhetetlenné vált, és a kiszivárgott adatok közt belső dokumentumok, pénzügyi információk és személyes adatok is szerepelhetnek.
