哥伦比亚能源供应商EPM遭受BlackCat勒索软件攻击

  哥伦比亚能源公司 Empresas Públicas de Medellín (EPM) 当地时间 12 月 12 日(周一)遭受了 BlackCat/ALPHV 勒索软件攻击,扰乱了公司的运营并中断了在线服务。EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一,为 123 个城市提供服务。该公司在 2022 年创造了超过 250 亿美元的收入,归哥伦比亚麦德林市政府所有。周二,该公司要求大约4,000 名员工居家工作,IT 基础设施出现故障,公司网站也不再可用。经澄清,这种情况并不影响安蒂奥基亚省首府提供能源、水和天然气服务。

  EPM 向当地媒体透露 ,他们正在应对一起网络安全事件,并为客户提供了支付服务费用的替代方法。检察官办公室后来向 EL COLOMBIANO 证实勒索软件是 EPM 网络攻击的幕后黑手,导致设备被加密和数据被盗。但是,没有透露攻击背后的勒索软件操作。

  当地媒体 Semana 和 elcolombiano 的报道

  调查机构承认其对该国网络攻击增加的担忧。两周多前,EPS Sanitas——在该国拥有近 500 万分支机构——遭受了对其技术基础设施的攻击,至今仍未恢复;他们的大部分在线服务仍处于关闭状态。显然,黑客保留了重要的患者信息,例如医疗记录。

  同一个检察官办公室证实,网络犯罪分子要求获得赎金,以换取释放所扣押和加密的信息。负责打击计算机犯罪专门委员会的埃德娜·帕特里夏·卡布雷拉 (Edna Patricia Cabrera) 告诉 EL COLOMBIANO,就 EPM 攻击事件而言,被破坏的信息显然不包含客户数据,而是包含公司的运营和内部动态。但专门从事此类犯罪的 Mucho Hacker 门户网站发布的屏幕截图将证明存在有关员工和财务信息的私人数据,例如有关付款、预算、报告、报告和银行文件的数据。检察官办公室估计,从 EPM 窃取信息的规模将达 15 T。

  EPM 总经理豪尔赫·安德烈斯·卡里略 (Jorge Andrés Carrillo) 于同一周二(13 日)签署的一项法令中,在对勒索软件的影响及其可能对组织运营产生的影响进行了初步分析后,将情况上报给了总公司。该文件还向新业务、创新和技术执行副总裁 Darío Amar Flórez 提供了 50 亿美元,以便他可以签订合同和协议,以支持和关注“网络安全事件”。

  攻击事件背后的 BlackCat 勒索软件

  BleepingComputer 目前了解到该事件与 BlackCat 勒索软件有关,BlackCat 又名 ALPHV,应该是本次攻击的幕后黑手,声称在攻击期间窃取了公司数据。BleepingComputer 还看到了来自 EPM 攻击的加密器样本和赎金记录,并确认它们来自 BlackCat 勒索软件操作。

  来自 BlackCat 勒索软件的赎金记录

  虽然在攻击中创建的赎金票据指出威胁行为者窃取了各种各样的数据,但应该注意的是,这是所有 BlackCat 勒索票据中使用的确切文本,并非特定于 EPM。

  然而,进一步的发现表明,黑客可能在攻击期间从 EPM 窃取了大量数据。

  智利安全研究员 Germán Fernández 发现了 BlackCat 的“ExMatter”数据窃取工具的最新样本,该样本是从哥伦比亚上传到恶意软件分析站点的。

  ExMatter 是 BlackCat 勒索软件攻击中使用的一种工具,可在设备加密之前从公司网络中窃取数据。这些数据随后被用作勒索软件团伙双重勒索企图的一部分。

  当该工具运行时,它会从网络上的设备窃取数据,并将其存储在攻击者控制的服务器上的文件夹中,该文件夹以被盗的 Windows 计算机名称命名。

  在分析 ExMatter 工具时,Fernández 发现它将数据上传到安全性不够的远程服务器,允许任何访问者查看存储在其上的数据。

  在来自哥伦比亚的 ExMatter 变体中,数据被上传到以“EPM-”开头的各种文件夹中,如下所示。Fernández 告诉 BleepingComputer,这些计算机名称与 Empresas Públicas de Medellín使用的已知计算机命名格式相匹配。

  虽然目前还不清楚总共有多少数据被盗,但 Fernández 告诉 BleepingComputer,网站上列出了 40 多台设备。BleepingComputer 已联系 EPM 以了解有关此次攻击的更多信息以及有多少数据被盗,但并未立即得到回应。

  这不是第一次针对哥伦比亚能源公司的勒索软件攻击。2020 年, Enel 集团同年两次遭受勒索软件攻击。

  在过去几个月里,哥伦比亚的袭击事件也有所增加,该国的医疗保健系统上个月因跨国医疗保健组织 Keralty 遭到 RansomHouse 攻击而中断。

  参考资源

  1、https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/

  2、https://www.elcolombiano.com/antioquia/hackers-piden-plata-a-epm-para-devolverle-informacion-robada-en-ciberataque-FK19647673

  3、https://www.elcolombiano.com/antioquia/hackers-piden-plata-a-epm-para-devolverle-informacion-robada-en-ciberataque-FK19647673