Power lines

ルーマニア国家サイバーセキュリティ総局(DNSC)によると、ランサムウェア「Lynx」一味が、同国最大の電力供給会社のひとつであるElectricaグループに侵入したという。

Electricaは1998年に国営電力会社(CONEL)の一部門として設立された後、2000年に独立企業となった。2014年以降、エレクトリカはロンドンとブカレストの証券取引所に上場している。

同社は現在、ムンテニア州とトランシルバニア州の380万人以上のユーザーに電力供給、メンテナンス、その他のエネルギーサービスを提供している。

Electrica社は月曜日、国のサイバーセキュリティ当局と協力して「進行中」のランサムウェア攻撃を調査していると投資家に警告した。ルーマニアのエネルギー大臣Sebastian Burdujaは、同社のSCADAやその他の重要なシステムは隔離されており、攻撃の影響は受けていないと付け加えた。

本日、調査に関与した当局のひとつであるDNSCは、Lynxランサムウェアの操作が今回の事件の原因であることを明らかにした。DNSCはまた、他のセキュリティ・チームがネットワーク上の侵害の兆候を検出するのに役立つYARAスクリプトを提供した。

「入手可能なデータによると、重要な電力供給システムは影響を受けておらず、稼動している。ランサムウェアに感染した場合、DNSCは、攻撃者が要求した身代金を支払わないことを強く推奨する。

“DNSCは、サイバー犯罪グループLYNXランサムウェアによって支援されたランサムウェア攻撃の影響を受けたか否かにかかわらず、すべての事業体、特にエネルギー分野の事業体に対し、YARAスキャンスクリプトを使用して、悪意のあるバイナリ(暗号化装置)が存在しないか、自社のIT&Cインフラをスキャンすることを推奨する。

Lynx ランサムウェアの活動

LYNX ランサムウェアは少なくとも2024年7月から活動しており、8月以降、その明確なウェブデータ流出サイトに78人以上の被害者を追加しています。

Center for Internet Security (CIS)によると、被害者リストには複数の米国施設とエネルギー、石油、ガスセクターの20以上の事業体が含まれており、2024年7月から2024年11月の間に追加された。

Lynxの運営者は、5月にExploit and XSSハッキング・フォーラムで30万ドルで売りに出されたとされるINC Ransomマルウェアのソースコードに基づくと思われる暗号化ツールを使用している。しかし、これはINC RANSOMが法執行機関の監視を受けずに活動できるようにするためのブランド再構築の努力である可能性もある。

8月には、文字列分析に基づき、Lynxランサムウェアと最近のINC暗号化ツールがほとんど同じであることが確認された

INC vs Lynx ransomware string comparison
INC vs Lynx ランサムウェアの文字列比較 ()

2023年7月にランサムウェア・アズ・ア・サービス(RaaS)として登場して以来、INCランサムウェアは、ヤマハ・モーター・フィリピン、スコットランドの国民保健サービス(NHS)、ゼロックス・ビジネス・ソリューションズXBS)の米国部門など、多くの教育、医療、政府、産業団体にも侵入している。

Lynxランサムウェアの一団は、公式にこの攻撃を主張しておらず、またデータ漏洩サイトでElectricaを被害者として追加していないことから、攻撃者はまだ接触していないか、またはすでに身代金要求に応じるよう同社に圧力をかけていることが示唆される。

Electricaのランサムウェア攻撃は、ルーマニアの憲法裁判所(CCR)が、ロシアに関連した大規模なTikTokの影響力キャンペーンが第1ラウンドの選挙結果に影響を与えたという広範な情報に基づいて、今年の大統領選挙を無効にした後に発生した。

ルーマニア情報局(SRI)はまた、11月19日から11月25日までの間、85,000件以上のサイバー攻撃が同国の選挙インフラを標的としたことを明らかにする報告書の機密指定を解除した。

2月には、Backmydata社のランサムウェア攻撃により、ルーマニア全土の100以上の病院が医療管理システムを停止させられ、システムをオフラインに追い込まれた。