Cyberprzestępcy zaatakowali dystrybutorów paliw w zachodniej Europie

4 lutego, 2022
Blackcat ransomware

W ostatnich dniach i godzinach widzimy skutki zakrojonej kampanii ransomware wymierzonej przeciwko dystrybutorom paliw w Europie. Do jednego z największych cyberataków doszło na dwie spółki Marquard & Bahls – niemieckiej firmy operującej na rynku dostaw paliw. Cyfrowy szantaż o okup zmusił czołowych dystrybutorów paliw w Niemczech do wstrzymania działań. Cyberatak spowodował, że największa krajowa sieć dystrybucyjna Aral, musiała zaopatrywać część swoich stacji benzynowych (233 na 2300) z alternatywnych źródeł. W ataku ucierpiała również firma Shell, która poinformowała, że w efekcie cyberataku przekierowuje dostawy ropy do innych magazynów. Do podobnego incydentu doszło także w Holandii – co najmniej sześć terminali do magazynowania ropy naftowej w centrum rafineryjnym Amsterdam-Rotterdam-Antwerpia (ARA) ma problemy z załadunkiem i rozładunkiem z powodu szeroko zakrojonego cyberataku na europejskie terminale naftowe.

Blackcat ransomware
Blackcat ransomware: wiadomość z okupem.

Zaatakowane terminale są obsługiwane przez SEA-Tank, Oiltanking i Evos w Antwerpii, Gandawie, Amsterdamie i Terneuzen. Do tego dochodzi 11 zaatakowanych obiektów w Niemczech. Wydaje się, że tylko jeden z dwóch terminali Evos w Amsterdamie został zaatakowany, najprawdopodobniej ten o nazwie Amsterdam East.

BlackCat ransomware notatka po zaszyfrowaniu
BlackCat ransomware - notatka po zaszyfrowaniu.

Grupa hakerów ALPHV opracowała ransomware BlackCat

Zdaniem ekspertów ESET odpowiedzialna za atak jest grupa cyberprzestępców ALPHV, która buduje model franczyzowy dla ataków z użyciem oprogramowania ransomware.

ALPHV aktywnie rekrutuje operatorów z kilku organizacji ransomware w tym REvil, BlackMatter i DarkSide – oferuje „partnerom” do 90 procent okupu zapłaconego przez organizację-ofiarę.

Od końca stycznia 2022 roku strona hakerów zawiera informacje o ponad 200 ofiarach-organizacji.

Dzięki badaczom z Varonis Threat Labs dowiadujemy się więcej o ofiarach grupy hakerów ALPHV używających ransomware BlackCat ransomware.  

  • Grupa aktywnie rekrutuje byłych operatorów REvil, BlackMatter i DarkSide.
  • Zaobserwowano ich zwiększoną aktywność od listopada 2021.
  • Grupa oferuje lukratywne wypłaty dla partnerów (do 90% !!!).
  • Oprogramowanie ransomware napisane jest w języku Rust.
  • Malware do szyfrowania plików na dyskach używa klucza AES, natomiast klucz na samym końcu jest szyfrowany przez klucz publiczny w wyniku działania algorytmu RSA. Klucz prywatny RSA pozostaje w rękach przestępcy, zatem szansa odzyskania danych jest prawie zerowa.
  • Wirus wykorzystuje lukę zdobywają wyższe uprawnienia w systemie (bypass UAC, Masquerade_PEB, CVE-2016-0099 – warto sprawdzić, czy posiadacie łatkę w systemach Windows Server!).
  • Może rozprzestrzeniać się na zdalne hosty za pomocą PsExec.
  • Usuwa kopie zapasowe Windows za pomocą VSS Admin.
  • Oprogramowanie przestępcze potrafi wykryć, zatrzymać i usuwać migawki z VMware ESXi!

Zobacz techniczne opracowanie PDF o ransomware BlackCat przygotowane przez Sentinelone.

Atak cyberprzestępców na firmy paliwowe nie jest nowością. W ubiegłym roku amerykański koncern paliwowy Colonial Pipeline musiał uporać się z atakiem typu ransomware. W wyniku działań cyberprzestępców sparaliżowane zostały usługi biznesowe spółki, co doprowadziło do braku dostępu do gazu na wschodnim wybrzeżu USA przez blisko tydzień.

W kontekście bieżących wydarzeń geopolitycznych i zwiększających się cen surowców, w tym ropy i gazu, eksperci spodziewają się kolejnych ataków ransomware na firmy branży surowcowej na świecie.

Czy ten artykuł był pomocny?

Oceniono: 3 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]