Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel), две крупные электроэнергетические компании в Бразилии, объявили, что на прошлой неделе они подверглись атакам программ-вымогателей.
Контролируемые государством, оба являются ключевыми игроками в стране. Copel является крупнейшей в штате Парана, а Eletrobras - крупнейшей энергокомпанией в Латинской Америке, а также владеет Eletronuclear, дочерней компанией, занимающейся строительством и эксплуатацией атомных электростанций.
Обе атаки программ-вымогателей нарушили работу и вынудили компании приостановить работу некоторых своих систем, по крайней мере, временно.
Атомные станции не пострадали
В случае с Eletrobras инцидент произошел в ее дочерней компании Eletronuclear и был классифицирован как атака с использованием программы-вымогателя. Он затронул некоторые административные серверы сети и не повлиял на работу атомных электростанций Angra 1 и Angra 2.
Обнаружив атаку, Eletronuclear приостановила работу некоторых своих систем для защиты целостности сети. Вместе с командой управляемых служб безопасности компания изолировала вредоносное ПО и ограничила последствия атаки.
В уведомлении мало деталей и не уточняется, является ли атака также утечкой данных, поскольку операторы программ-вымогателей часто крадут данные из сети жертвы перед развертыванием процедуры шифрования.
Утечка в кампании Copel
В случае Copel атака является делом рук банды вымогателей Darkside, которая утверждает, что украла более 1000 ГБ данных и что в кеше содержится конфиденциальная информация о доступе к инфраструктуре и личные данные высшего руководства и клиентов.
По словам хакеров, они получили доступ к решению CyberArk компании для управления привилегированным доступом и перехватили пароли в открытом виде через локальную и интернет-инфраструктуру Copel.
Помимо этого, Darkside сообщает, что у них есть более 1000 ГБ конфиденциальных данных, принадлежащих Copel, которые содержат карты сети, схемы и расписания резервного копирования, доменные зоны для основного сайта Copel и домен интрасети.
Они также утверждают, что отфильтровали базу данных, в которой хранятся данные Active Directory (AD) - файл NTDS.dit, который включает информацию об объектах пользователей, группах, членстве в группах и хэшах паролей для всех пользователей в домене.
Хотя в базе данных AD нет паролей в виде обычного текста, существуют инструменты, которые могут взламывать хэши в автономном режиме или использовать их в так называемых атаках с передачей хэша, где они действуют как сам пароль.
Основные системы целы
Copel - крупнейшая компания в штате Парана, а также первая бразильская компания электроэнергетического сектора, котирующаяся на Нью-Йоркской фондовой бирже.
Дата вторжения остается нераскрытой, но Copel объявил об инциденте в документации, поданной в Комиссию по ценным бумагам и биржам (SEC) в понедельник, 1 февраля.
Компания обнаружила атаку и немедленно приняла меры, чтобы остановить ее распространение по сети. Было начато расследование для определения всех последствий атаки.
Несомненно то, что основные системы остались нетронутыми, а электроснабжение и телекоммуникационные услуги продолжали нормально функционировать.
Неясно, сколько сегментов сети Copel подверглось атаке и смогли ли хакеры развернуть процедуру шифрования. BleepingComputer обратился к Copel с просьбой о комментариях, и мы обновим статью, когда появится официальное заявление.