Колумбийская энергетическая компания Empresas Públicas de Medellín (EPM) подверглась атаке шифровальщика BlackCat/ALPHV, в результате которой была нарушена работа компании и отключены онлайн-сервисы.
EPM является одним из крупнейших в Колумбии поставщиков электроэнергии, воды и газа, предоставляющих услуги 123 муниципалитетам. Доход компании в 2022 году составил более 25 миллиардов долларов, а ее владельцем является колумбийский муниципалитет Медельин.
Во вторник компания попросила около 4 000 сотрудников работать дома, при этом ИТ-инфраструктура не работала, а веб-сайты компании перестали быть доступными. EPM сообщила местным СМИ, что реагирует на инцидент с кибербезопасностью и предоставила клиентам альтернативные способы оплаты услуг.
Позднее прокуратура подтвердила EL COLOMBIANO, что атака на EPM включала шифрование и кражу данных, однако, какая именно программа-вымогатель стояла за атакой, не раскрывалось.
За атакой стоял BlackCat.
С тех пор BleepingComputer стало известно, что за атаками стоял шифровальщик BlackCat, также известный как ALPHV, сайт утечек которого утверждает, что во время атак были похищены корпоративные данные.
Работники BleepingComputer также получили образец шифратора и записку с требованием выкупа EPM и подтвердили, что они принадлежат BlackCat.
Хотя в записке с требованием выкупа, созданной в ходе атаки, говорится, что злоумышленники похитили широкий спектр данных, следует отметить, что такой текст используется во всех записках с требованием выкупа BlackCat и не относится конкретно к EPM.
Однако дальнейшие открытия показывают, что хакеры, вероятно, похитили довольно много данных из EPM во время атаки. Чилийский исследователь безопасности Герман Фернандес обнаружил недавний образец инструмента кражи данных BlackCat 'ExMatter', загруженный из Колумбии на сайт анализа вредоносных программ.
ExMatter - это инструмент, используемый в атаках BlackCat для кражи данных из корпоративных сетей до того, как устройства будут зашифрованы. Затем эти данные используются для двойного вымогательства. Когда инструмент запущен, он похищает данные с устройств в сети и хранит их на контролируемых злоумышленниками серверах в папках, названных по имени компьютера Windows, с которого они были похищены.
При анализе инструмента ExMatter Фернандес обнаружил, что он загружает данные на удаленный сервер, который не был должным образом защищен, что позволяет любому посетителю увидеть хранящиеся на нем данные.
В варианте ExMatter из Колумбии данные загружались в различные папки, начинающиеся с 'EPM-', как показано ниже. Фернандес сообщил BleepingComputer, что эти имена компьютеров соответствуют известным форматам именования компьютеров, используемым в Empresas Públicas de Medellín.
Хотя неизвестно, сколько всего данных было похищено, Фернандес сообщил BleepingComputer, что на сайте было указано чуть более 40 устройств. BleepingComputer связался с EPM, чтобы узнать больше об атаке и о том, сколько данных было похищено, но ответ был получен не сразу.
Это не первый случай, когда атака вымогателей направлена на колумбийскую энергетическую компанию. В 2020 году группа Enel дважды за один год подверглась атаке шифровальщика.
В последние месяцы в Колумбии наблюдается рост числа кибератак: в прошлом месяце система здравоохранения страны была нарушена в результате атаки RansomHouse на Keralty, межнациональную организацию здравоохранения.
Источник: https://www.bleepingcomputer.com
