La Direction nationale roumaine de la cybersécurité (DNSC) a déclaré que le gang de rançongiciels Lynx avait violé Electrica Group, l’un des plus grands fournisseurs d’électricité du pays.
Electrica est devenue une entreprise indépendante en 2000 après sa création en tant que division de la Compagnie Nationale d’Électricité (CONEL) en 1998. Depuis 2014, Electrica est cotée aux bourses de Londres et de Bucarest.
La société fournit désormais de l’électricité, de la maintenance et d’autres services énergétiques à plus de 3,8 millions d’utilisateurs à travers la Munténie et la Transylvanie.
Electrica a averti lundi les investisseurs qu’elle enquêtait sur une attaque de ransomware « en cours » en collaboration avec les autorités nationales de cybersécurité. Le ministre roumain de l’Énergie, Sebastian Burduja, a ajouté que le SCADA de l’entreprise et d’autres systèmes critiques étaient isolés et non affectés par l’attaque.
Aujourd’hui, DNSC, l’une des autorités impliquées dans l’enquête, a révélé que l’opération de ransomware Lynx était responsable de l’incident. Il a également fourni un script YARA pour aider les autres équipes de sécurité à détecter les signes de compromission sur leurs réseaux.
« Sur la base des données disponibles, les systèmes d’alimentation critiques n’ont pas été affectés et sont opérationnels, et l’enquête est actuellement en cours. En cas d’infection par ransomware, la Direction recommande vivement à personne de payer la rançon demandée par les attaquants », a déclaré DNSC.
« DNSC recommande à toutes les entités, en particulier celles du domaine de l’énergie, qu’elles aient ou non été touchées par l’attaque de ransomware, soutenue par le groupe de cybercriminalité LYNX Ransomware, d’analyser leur propre infrastructure informatique et informatique à la recherche de binaires malveillants (encryptor) à l’aide du script d’analyse YARA.
L’opération du ransomware Lynx
Le ransomware Lynx est actif depuis au moins juillet 2024, ajoutant plus de 78 victimes à son site de fuite de données clear Web depuis août.
Selon le Center for Internet Security (CIS), la liste des victimes présumées comprend plusieurs installations américaines et plus de 20 entités des secteurs de l’énergie, du pétrole et du gaz, ajoutées entre juillet 2024 et novembre 2024.
Les opérateurs de Lynx utilisent un chiffreur probablement basé sur le code source du logiciel malveillant de rançon INC qui aurait été mis en vente sur les forums de piratage Exploit et XSS pour 300 000 May en mai. Cependant, cela pourrait également être un effort de rebranding pour aider INC RANSOM à fonctionner sous moins de contrôle des forces de l’ordre.
Breachtrace a confirmé en août que le ransomware Lynx et les récents chiffreurs INC étaient pour la plupart les mêmes sur la base d’une analyse de chaîne.
Depuis son apparition en tant qu’opération de ransomware en tant que service (RaaS) en juillet 2023, INC Ransom a également violé de nombreuses entités éducatives, sanitaires, gouvernementales et industrielles, notamment Yamaha Motor Philippines, le National Health Service (NHS) d’Écosse et la division américaine de Xerox Business Solutions (XBS).
Le gang de ransomwares Lynx n’a pas officiellement revendiqué l’attaque ni ajouté Electrica en tant que victime sur son site de fuite de données, suggérant que les attaquants n’ont pas encore pris contact ou font déjà pression sur l’entreprise pour qu’elle réponde à leurs demandes de rançon.
L’attaque du ransomware Electrica intervient après que la Cour constitutionnelle roumaine (CCR) a annulé les élections présidentielles de cette année sur la base d’informations détaillées selon lesquelles une campagne massive d’influence TikTok liée à la Russie a affecté les résultats du premier tour des élections.
Les Services de renseignement roumains (SRI) ont également déclassifié un rapport révélant que plus de 85 000 cyberattaques avaient ciblé l’infrastructure électorale du pays entre le 19 et le 25 novembre, la nuit suivant le premier tour de l’élection présidentielle.
En février, une attaque de ransomware Backmydata a forcé plus de 100 hôpitaux à travers la Roumanie à mettre leurs systèmes hors ligne après avoir perturbé leur système de gestion des soins de santé.