Атаката с рансъмуер в Германия е свързана с хакерската атака срещу Colonial Pipeline
Кодът на рансъмуерът „Черната котка” е написан на руски език и е известен със своята "сложност и иновативност"
Обновен: 20:30 | 4 февруари 2022
Предполага се, че свързана с Русия киберпрестъпна групировка е отговорна за атаките с цел получаване на откуп, които тази седмица сринаха част от германската система за дистрибуция на горива и възпрепятстваха плащанията в някои бензиностанции, пише Bloomberg.
Според запознати с разследването на атаките, хакери, използващи щам на рансъмуер, известен като "Черна котка", са заразили компютри в Mabanaft GmbH и Oiltanking GmbH Group.
Рансъмуерът е вид зловреден софтуер, който криптира файловете на компютрите на жертвите, правейки ги недостъпни, докато не се плати откуп. Не е известно колко пари е поискала бандата "Черната котка" от фирмите.
Според Брет Калоу, анализатор на заплахите във фирмата за киберсигурност Emsisoft, хакерите, които стоят зад „Черната котка”, изглежда са свързани с бандата „DarkSide”, която бе обвинена за атаката срещу Colonial Pipeline Co. през миналата година. Хакерската атака срещу най-големия тръбопровод за пренос на горива в САЩ Colonial Pipeline блокира работата му за няколко дни през май.
Нападенията се случват на фона на засиленото напрежение в региона, тъй като руските войски са се струпали на украинската граница, което поражда опасения за предстояща сухопътна атака. Подобна атака може да застраши доставките на руско гориво за Германия и други части на Европа. Руският президент Владимир Путин многократно е отричал, че планира да нахлуе.
Mabanaft GmbH, която разпространява големи количества гориво в Германия, заяви във вторник, че компютърните ѝ системи са били пробити и дейността ѝ е била нарушена. Oiltanking GmbH Group, която управлява терминали в международен мащаб, потвърди, че нейните системи също са били засегнати от кибератаката. И двете дружества са собственост на базираната в Хамбург група за горива Marquard & Bahls AG.
Говорител на компаниите е отказал да коментира рансъмуера. Компаниите са открили, че са станали "жертва на киберинцидент" на 29 януари и работят със специалисти по разследването, каза говорителят. Очакванията са за възобновяване на нормалната дейност до началото на следващата седмица.
Прокуратурата в Хамбург заяви, че е започнала разследване на пробива, но все още не е идентифицирала заподозрян.
"Към момента не може да бъде предоставена информация относно извършителя, който стои зад атаката", заяви Лиди Ойхтеринг, говорител на прокуратурата. "Засега разследванията са насочени срещу неизвестен извършител."
Кодът на рансъмуерът „Черната котка” е написан на руски език и е известен със своята "сложност и иновативност", според доклад, публикуван през януари от изследователи от Unit 42, екип за киберсигурност в Palo Alto Networks. Според доклада бандата, която е активна от ноември 2021 г., е набирала "филиали" във форумите за киберпрестъпност, които на практика отдават под наем рансъмуера, за да хакват компании и организации.
Доел Сантос, анализатор на заплахите в Unit 42, заяви, че хакерите, използващи рансъмуера „Черната котка”, известен още като ALPHV, са били "много активни" от декември насам. По думите му те са се насочили към широк кръг индустрии, включително строителство и инженерство, търговия на дребно, транспорт, търговски услуги, застраховане, машини, професионални услуги, телекомуникации, автомобилни компоненти и фармацевтика. Бандата е насочила усилията си за изнудване към компании и организации в държави, сред които САЩ, Германия, Франция, Испания, Филипините и Нидерландия, се посочва в доклада на отдел 42.
"Това, което е необичайно, е, че за една нова група те са много опитни", казва Алън Лиска, старши анализатор на заплахите във фирмата за киберсигурност Recorded Future Inc. "Методологията е една и съща при всички тези групи за изнудване. Но „Черната котка” се движи бързо в мрежите. Те получават данните бързо и не се страхуват да преследват големи цели." Лиска добави, че хората, участващи в бандата, изглежда са рускоговорящи, както показват публикациите им в рускоезични форуми за киберпрестъпност.
Лиска нарече момента на атаките подозрителен, но заяви, че все още не е ясно дали има някаква връзка с напрежението в Украйна.
Властите в Германия определиха хакерските атаки от тази седмица като сериозни, но омаловажиха степента на нарушаване на доставките на гориво в страната. Говорител на Федералната служба за информационна сигурност заяви, че са били засегнати 233 бензиностанции, предимно в Северна Германия, което е само 1,7 % от общия брой в страната. На някои от тези бензиностанции не е било възможно да се плаща с кредитна карта, каза говорителят.