哥伦比亚能源供应商EPM遭受BlackCat勒索软件攻击
哥伦比亚能源公司Empresas Públicas de Medellín (EPM) 当地时间12月12日(周一)遭受了BlackCat/ALPHV勒索软件攻击,扰乱了公司的运营并中断了在线服务。EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一,为 123 个城市提供服务。该公司在 2022年创造了超过250亿美元的收入,归哥伦比亚麦德林市政府所有。周二,该公司要求大约4,000名员工居家工作,IT 基础设施出现故障,公司网站也不再可用。经澄清,这种情况并不影响安蒂奥基亚省首府提供能源、水和天然气服务。
EPM向当地媒体透露 ,他们正在应对一起网络安全事件,并为客户提供了支付服务费用的替代方法。检察官办公室后来向EL COLOMBIANO证实勒索软件是EPM网络攻击的幕后黑手,导致设备被加密和数据被盗。但是,没有透露攻击背后的勒索软件操作。
调查机构承认其对该国网络攻击增加的担忧。两周多前,EPS Sanitas——在该国拥有近500万分支机构——遭受了对其技术基础设施的攻击,至今仍未恢复;他们的大部分在线服务仍处于关闭状态。显然,黑客保留了重要的患者信息,例如医疗记录。
同一个检察官办公室证实,网络犯罪分子要求获得赎金,以换取释放所扣押和加密的信息。负责打击计算机犯罪专门委员会的埃德娜·帕特里夏·卡布雷拉 (Edna Patricia Cabrera) 告诉EL COLOMBIANO,就EPM攻击事件而言,被破坏的信息显然不包含客户数据,而是包含公司的运营和内部动态。但专门从事此类犯罪的 Mucho Hacker门户网站发布的屏幕截图将证明存在有关员工和财务信息的私人数据,例如有关付款、预算、报告、报告和银行文件的数据。检察官办公室估计,从EPM窃取信息的规模将达 15 T。
EPM总经理豪尔赫·安德烈斯·卡里略 (Jorge Andrés Carrillo) 于同一周二(13日)签署的一项法令中,在对勒索软件的影响及其可能对组织运营产生的影响进行了初步分析后,将情况上报给了总公司。该文件还向新业务、创新和技术执行副总裁Darío Amar Flórez提供了50亿美元,以便他可以签订合同和协议,以支持和关注“网络安全事件”。
攻击事件背后的BlackCat勒索软件
Bleeping Computer目前了解到该事件与BlackCat勒索软件有关,BlackCat又名 ALPHV,应该是本次攻击的幕后黑手,声称在攻击期间窃取了公司数据。Bleeping Computer还看到了来自EPM 攻击的加密器样本和赎金记录,并确认它们来自BlackCat勒索软件操作。
虽然在攻击中创建的赎金票据指出威胁行为者窃取了各种各样的数据,但应该注意的是,这是所有BlackCat勒索票据中使用的确切文本,并非特定于EPM。
然而,进一步的发现表明,黑客可能在攻击期间从EPM窃取了大量数据。
智利安全研究员Germán Fernández发现了BlackCat 的“ExMatter”数据窃取工具的最新样本,该样本是从哥伦比亚上传到恶意软件分析站点的。
ExMatter是BlackCat勒索软件攻击中使用的一种工具,可在设备加密之前从公司网络中窃取数据。这些数据随后被用作勒索软件团伙双重勒索企图的一部分。
当该工具运行时,它会从网络上的设备窃取数据,并将其存储在攻击者控制的服务器上的文件夹中,该文件夹以被盗的Windows计算机名称命名。
在分析ExMatter工具时,Fernández发现它将数据上传到安全性不够的远程服务器,允许任何访问者查看存储在其上的数据。
在来自哥伦比亚的ExMatter变体中,数据被上传到以“EPM-”开头的各种文件夹中,如下所示。Fernández 告诉Bleeping Computer,这些计算机名称与Empresas Públicas de Medellín使用的已知计算机命名格式相匹配。
虽然目前还不清楚总共有多少数据被盗,但Fernández告诉 Bleeping Computer,网站上列出了40多台设备。Bleeping Computer已联系EPM以了解有关此次攻击的更多信息以及有多少数据被盗,但并未立即得到回应。
这不是第一次针对哥伦比亚能源公司的勒索软件攻击。2020年,Enel集团 同年两次遭受勒索软件攻击。
在过去几个月里,哥伦比亚的袭击事件也有所增加,该国的医疗保健系统上个月因 跨国医疗保健组织Keralty遭到RansomHouse攻击而中断。