Крупнейшие бразильские энергокомпании стали жертвами вымогательского ПО

Две крупнейшие бразильские электроэнергетические компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) подверглись кибератакам с использованием вымогательского ПО.

Обе компании принадлежат государству, при этом Copel является крупнейшей в штате Парана, а Eletrobras – самой крупной электроэнергетической компанией во всей Южной Америке. Eletrobras также принадлежит дочерняя компания Eletronuclear, участвующая в строительстве и эксплуатации атомных электростанций.

В результате кибератак были сорваны некоторые операции обеих компаний. Кроме того, им пришлось отключить часть своих систем, по крайней мере, временно.

В случае с Eletrobras инцидент произошел в дочерней компании Eletronuclear. Он затронул только некоторые серверы в административной сети предприятия. Атомные электростанции Angra 1 и Angra 2 от атаки не пострадали, так как их операции отключены от административной сети из соображений безопасности.

Похитили ли злоумышленники какие-либо данные, как это часто бывает в атаках вымогательского ПО, Eletrobras не уточняет.

Что касается Copel, то компания стала жертвой киберпреступной группировки Darkside. По словам хакеров, они похитили 1 ТБ информации, а кэш включает конфиденциальную информацию о доступе к инфраструктуре и личные данные высшего руководства и клиентов Copel. В частности, злоумышленники похитили карты сети, схемы и график резервного копирования, доменные зоны главного сайта предприятия и домен интранета. Они также заявили, что смогли похитить базы данных, содержащие данные Active Directory (файл NTDS.dit с информацией об объектах пользователя, группах, членстве в группах и хеши паролей всех пользователей).

В отличие от других операторов вымогательского ПО у Darkside нет своего сайта утечек. Вместо него хакеры используют распределенное хранилище, где похищенные данные сберегаются в течение шести месяцев. Доступ к хранилищу жестко контролируется группировкой. То есть, хотя чувствительные данные жертв и не находятся в открытом доступе, к ним все равно могут получить доступ третьи стороны, в том числе киберпреступники.

Как пояснили киберпреступники, им удалось получить доступ к используемому на предприятии решению CyberArk с целью повысить свои привилегии и похитить незашифрованные пароли из всей локальной и интернет-инфраструктуры Copel.