Conpet под ударом Qilin: кибератака нарушила работу нефтепроводов в Румынии

Румынский оператор нефтепроводов Conpet подтвердил атаку Qilin ransomware

Национальный оператор нефтепроводов Румынии Conpet сообщил о кибератаке, в результате которой были нарушены бизнес-системы компании, а её публичный веб-сайт отключён во вторник. По данным источников, знакомых с инцидентом, атака была совершена группой Qilin ransomware.

Основные детали атаки

• Пострадавший: Conpet — государственный оператор нефтепроводов Румынии, отвечающий за транспортировку сырой нефти и нефтепродуктов по всей стране.
• Киберпреступники: Группа Qilin ransomware — финансово мотивированная хакерская группировка, известная атаками на объекты критической инфраструктуры.
• Последствия: Нарушение работы внутренних бизнес-систем и отключение публичного веб-сайта компании.
• Время атаки: Инцидент был обнаружен и раскрыт во вторник, однако точная продолжительность компрометации остаётся неясной.

Технические аспекты атаки

Хотя Conpet не предоставил конкретных технических деталей о векторе атаки, Qilin ransomware обычно внедряется через:

• Фишинговые письма с вредоносными вложениями или ссылками.
• Эксплуатацию уязвимостей в публичных приложениях (например, VPN, RDP) без установленных патчей.
• Атаки подбора паролей (credential stuffing) или brute-force, направленные на слабые механизмы аутентификации.

Qilin ransomware работает по модели «двойного вымогательства», шифруя данные жертв и одновременно похищая конфиденциальную информацию, чтобы вынудить организации платить выкуп. Ранее группа атаковала медицинские учреждения, энергетические и промышленные предприятия, что делает эту атаку на критическую инфраструктуру особенно тревожной.

Последствия и меры реагирования

По последним данным, Conpet не подтвердил, привела ли атака к нарушениям в работе нефтепроводов. Однако компрометация бизнес-систем всё ещё может создать риски для координации цепочек поставок, биллинга и логистики.

Компания не раскрыла, планирует ли она выплатить выкуп или уже привлекла кибербезопасные фирмы для реагирования на инцидент. Румынские кибербезопасные органы, включая Национальную дирекцию кибербезопасности (DNSC), вероятно, следят за ситуацией.

Рекомендации для операторов критической инфраструктуры

Командам безопасности в энергетических и промышленных организациях следует:

1. Проверять и усиливать контроль удалённого доступа, включая многофакторную аутентификацию (MFA) для VPN и RDP.
2. Устранять известные уязвимости в публичных системах, уделяя первоочередное внимание критически важным активам.
3. Мониторить признаки активности Qilin ransomware, включая необычное шифрование файлов или попытки эксфильтрации данных.
4. Регулярно создавать резервные копии и тестировать планы восстановления после сбоев, чтобы минимизировать время простоя в случае атаки.
5. Обучать сотрудников распознавать фишинговые атаки и тактики социальной инженерии.

Этот инцидент подчёркивает растущую угрозу, которую программы-вымогатели представляют для критической инфраструктуры, особенно в таких секторах, как энергетика, где сбои в работе могут иметь каскадные последствия для национальной безопасности и экономической стабильности.

Для получения обновлённой информации следите за официальными сообщениями Conpet и рекомендациями румынских кибербезопасных органов.