Romanya Ulusal Siber Güvenlik Müdürlüğü (DNSC), Lynx fidye yazılımı çetesinin ülkedeki en büyük elektrik tedarikçilerinden biri olan Electrica Group’a saldırı düzenlediğini söyledi.
Electrica, 1998 yılında National Electricity Company’nin (CONEL) bir bölümü olarak kurulduktan sonra 2000 yılında bağımsız bir şirket haline geldi. Electrica, 2014 yılından bu yana Londra ve Bükreş borsalarında işlem görmektedir.
Şirket şu anda Muntenia ve Transilvanya’da 3,8 milyondan fazla kullanıcıya elektrik tedariki, bakım ve diğer enerji hizmetleri sağlıyor.
Electrica Pazartesi günü yatırımcıları, ulusal siber güvenlik yetkilileriyle işbirliği içinde “devam eden” bir fidye yazılımı saldırısını araştırdığı konusunda uyardı. Romanya Enerji Bakanı Sebastian Burduja, şirketin SCADA ve diğer kritik sistemlerinin saldırıdan izole edildiğini ve etkilenmediğini ekledi.
Bugün, soruşturmaya katılan yetkililerden biri olan DNSC, olaydan Lynx fidye yazılımı operasyonunun sorumlu olduğunu açıkladı. Ayrıca diğer güvenlik ekiplerinin ağlarındaki tehlike işaretlerini tespit etmelerine yardımcı olacak bir YARA komut dosyası da sağladı.
DNSC, “Mevcut verilere göre, kritik güç kaynağı sistemleri etkilenmedi ve çalışır durumdadır ve soruşturma şu anda devam etmektedir. Fidye yazılımı bulaşması durumunda Müdürlük, hiç kimsenin saldırganlar tarafından talep edilen fidyeyi ödememesini şiddetle tavsiye etmektedir.” söz konusu.
“DNSC, siber suç grubu LYNX Ransomware tarafından desteklenen, fidye yazılımı saldırısından etkilenmiş olsun veya olmasın, başta enerji alanındakiler olmak üzere tüm kuruluşların, YARA tarama komut dosyasını kullanarak kötü amaçlı ikili dosyalara (şifreleyici) karşı kendi BT&C altyapılarını taramasını önermektedir. .
Lynx fidye yazılımı operasyonu
Lynx fidye yazılımı en az Temmuz 2024’ten bu yana aktif ve ağustos ayından bu yana açık web veri sızıntısı sitesine 78’den fazla kurban ekledi.
İnternet Güvenliği Merkezi’ne (CIS) göre, iddia edilen mağdurların listesi Temmuz 2024 ile Kasım 2024 arasında eklenen çok sayıda ABD tesisini ve enerji, petrol ve gaz sektörlerinden 20’den fazla kuruluşu içeriyor.
Lynx operatörleri, muhtemelen Mayıs ayında Exploit ve XSS hack forumlarında 300.000 dolara satışa sunulan INC Ransom kötü amaçlı yazılımının kaynak koduna dayanan bir şifreleyici kullanıyor. Ancak bu aynı zamanda INC RANSOM’un daha az kolluk denetimi altında çalışmasına yardımcı olacak bir yeniden markalaşma çabası da olabilir.
BleepingComputer, ağustos ayında Lynx fidye yazılımının ve yeni INC şifreleyicilerinin dize analizine göre çoğunlukla aynı olduğunu doğruladı.
INC Ransom, Temmuz 2023’te bir hizmet olarak fidye yazılımı (RaaS) operasyonu olarak ortaya çıktığından bu yana, Yamaha Motor Filipinler, İskoçya Ulusal Sağlık Hizmeti (NHS) ve Xerox Business Solutions’ın (XBS) ABD bölümü.
Lynx fidye yazılımı çetesi saldırıyı resmi olarak üstlenmedi veya Electrica’yı veri sızıntısı sitesine kurban olarak eklemedi; bu da saldırganların henüz iletişim kurmadığını veya şirkete fidye taleplerini karşılaması için baskı yaptığını gösteriyor.
Electrica fidye yazılımı saldırısı, Romanya Anayasa Mahkemesi’nin (CCR), Rusya bağlantılı büyük bir TikTok nüfuz kampanyasının ilk tur seçimlerin sonuçlarını etkilediğine dair kapsamlı bilgilere dayanarak bu yılki başkanlık seçimlerini iptal etmesinden sonra geldi.
Romanya İstihbarat Servisi (SRI), ilk cumhurbaşkanlığı seçim turunun ertesi gecesi olan 19 Kasım ile 25 Kasım arasında 85.000’den fazla siber saldırının ülkenin seçim altyapısını hedef aldığını ortaya koyan bir raporun gizliliğini de kaldırdı.
Şubat ayında Backmydata fidye yazılımı saldırısı, Romanya genelinde 100’den fazla hastanenin, sağlık yönetimi sistemlerini kesintiye uğrattıktan sonra sistemlerini çevrimdışına almasına neden oldu.