A época festiva não trouxe descanso para as equipas de cibersegurança na Roménia. A Oltenia Energy Complex (Complexul Energetic Oltenia), o maior produtor de energia a carvão do país, foi alvo de um ataque de ransomware no segundo dia de Natal, a 26 de dezembro, que paralisou a sua infraestrutura de TI.
A empresa, que é um pilar fundamental da infraestrutura crítica romena, emprega mais de 19.000 pessoas e é responsável por cerca de 30% da eletricidade consumida na Roménia. O incidente obrigou ao corte de vários serviços digitais, embora o fornecimento de energia à população não tenha sido comprometido.
Impacto nos serviços e recuperação via backups
O ataque resultou na encriptação de diversos ficheiros e documentos, tornando indisponíveis várias aplicações internas. Entre os sistemas afetados encontram-se o software de gestão empresarial (ERP), as plataformas de gestão documental, o serviço de email corporativo e o próprio site da organização.
Apesar da gravidade da intrusão nos sistemas informáticos, a produção de eletricidade manteve-se estável. "A atividade da empresa foi parcialmente afetada, sem pôr em causa o funcionamento do Sistema Nacional de Energia", explicou a Oltenia Energy Complex numa publicação oficial partilhada durante o fim de semana.
A resposta da empresa foi imediata. Assim que a intrusão foi detetada, as equipas de TI isolaram os sistemas comprometidos e iniciaram o processo de reconstrução do ambiente digital numa nova infraestrutura, recorrendo a backups existentes. Neste momento, a prioridade passa por avaliar a extensão total dos danos e determinar se houve exfiltração de dados sensíveis antes da encriptação, uma tática comum nos ataques de dupla extorsão.
O incidente já foi reportado ao Diretório Nacional de Cibersegurança da Roménia, ao Ministério da Energia e à DIICOT, a agência responsável pela investigação do crime organizado e terrorismo.
"Gentlemen" e a onda de ataques na Roménia
Embora a atribuição formal ainda esteja a ser investigada, os indicadores apontam para a operação de ransomware "Gentlemen". Este grupo, que surgiu em agosto, é conhecido por explorar credenciais comprometidas e serviços expostos à internet para ganhar acesso inicial às redes das vítimas. Normalmente, deixam notas de resgate com o nome README-GENTLEMEN.txt e utilizam a extensão .7mtzhh nos ficheiros encriptados.
Até ao momento, o grupo ainda não listou a Oltenia Energy Complex no seu site de fugas de informação na dark web, o que pode sugerir que um processo de negociação de resgate poderá estar em curso ou que os atacantes ainda estão a preparar a divulgação.
Este ataque insere-se num cenário preocupante para as infraestruturas romenas. Há apenas duas semanas, a autoridade nacional de gestão de águas (Romanian Waters) sofreu também um ataque de ransomware que afetou cerca de 1.000 computadores. O histórico recente do país inclui ainda violações à Electrica Group e um ataque massivo em fevereiro de 2024, onde mais de 100 hospitais tiveram de desligar os seus sistemas após uma infeção pelo ransomware Backmydata.
Nenhum comentário
Seja o primeiro!