Verscheidene Europese gas- en elektriciteitsbedrijven kregen onlangs een aanval met gijzelsoftware te verwerken. Meer dan eens zaten daar Russische criminelen achter, en die lijken uit op meer dan geld.
De jongste weken duikt een zorgwekkend patroon op bij de doelwitten van aanvallen met ransomware. De criminele organisaties achter de digitale afpersingen richten hun pijlen op energiebedrijven. Bij een ransomware-aanval worden IT-systemen van een organisatie geblokkeerd, waarna de daders losgeld vragen om ze weer vrij te geven.
Eind augustus kreeg Italië in korte tijd twee aanvallen te verduren. Eerst was het overheidsbedrijf GSE aan de beurt. Dat werd ruim twintig jaar geleden opgericht om de liberalisering van de energiemarkt in goede banen te leiden, maar focust vandaag op de promotie van hernieuwbare energiebronnen. De website van GSE ging uit de lucht en interne systemen werden afgesloten om de aanval het hoofd te bieden. Een Russische hackersgroep met de naam BlackCat/ALPHV eiste de aanval op. Hoeveel losgeld werd geëist, is niet bekend. Op hun darkwebsite verklaarden de hackers dat ze 700 gigabyte aan data hadden gestolen bij GSE, waaronder vertrouwelijke zaken zoals contracten, rapporten, info over projecten en financiële gegevens.
Eni
Vlak nadat GSE werd getroffen, kreeg ook de multinational Eni, een van oorsprong Italiaans bedrijf, te maken met een ransomware-aanval. Details over die aanval lekten niet uit. Eni bevestigde alleen de intrusie en zegt dat de gevolgen beperkt bleven. Wie de daders zijn, is nog onduidelijk.
Dat ligt anders bij de aanval op Creos, dat gas- en elektriciteitsleidingen in Luxemburg beheert. Ook daar raakten de BlackCathackers in het weekend van 23 juli binnen. Het moederbedrijf van Creos maakte bekend dat namen, adressen en telefoonnummers werden gestolen, maar ook bankgegevens van “specifieke groepen klanten”. De criminelen legden ook computersystemen plat en dreigden ermee 180.000 gestolen bestanden te publiceren, waaronder “contracten, paspoorten, rekeningen en e-mails”.
Dagen onbruikbaar
De BlackCat-groep is al lang berucht. Ze wordt verdacht van de hacking van Oiltanking, een Duits bedrijf met opslagterminals voor olieproducten, enkele maanden geleden. Voordien, en onder een andere naam, vielen ze met ransomware de Colonial Pipeline in Amerika aan. De grootste pijpleiding in de VS was dagenlang onbruikbaar. President Biden riep de noodtoestand uit, er waren brandstoftekorten en in verschillende staten gingen de benzineprijzen omhoog.
“Tussen februari en juni raakten een of twee incidenten per maand in de energiesector bekend. Voor juli en augustus waren dat er respectievelijk drie en vijf. Er is dus sprake van een toegenomen dreiging”, zegt Katrien Eggers van het Centrum voor Cybersecurity België (CCB). “In België zien we geen stijging van het aantal gemelde incidenten in de energiesector, maar we volgen het wel op de voet. Het CCB zal waarschuwen bij de minste concrete dreiging.”
Sinds het begin van de oorlog in Oekraïne is de aandacht verhoogd. “We zien nieuwe pro-Russische groeperingen ontstaan die zich antiwesters opstellen. Het is ook geen geheim dat Rusland een “war on energy” voert. Als pro-Russische criminelen of hacktivisten dat ondersteunen, valt het niet uit te sluiten dat ze bepaalde organisaties viseren”, stelt het CCB.
Extra drukmiddel
Verschillende experts in cybersecurity situeren BlackCat in Rusland. De leden en hun handlangers communiceren in ieder geval met elkaar in het Russisch en hangen rond op Russische onlinefora rond cybercriminaliteit.
In die Russische context is het bijzonder dat BlackCat besloot om buitgemaakte gegevens makkelijk doorzoekbaar te maken. In juni richtte de hackersgroep een website op waar bijvoorbeeld klanten of werknemers van de doelwitten zelf op zoek kunnen gaan naar hun data. Het is een extra drukkingsmiddel om slachtoffers te doen betalen.
Ook al is BlackCat niet officieel gelieerd aan de Russische overheid (in tegenstelling tot andere hackersgroepen), het begint wel gebruik te maken van vergelijkbare beïnvloedingstechnieken. Door interne informatie uit een organisatie te verspreiden, proberen de hackers de betrouwbaarheid te ondergraven waardoor die (nog meer) uit evenwicht kan geraken.
|