Издание Bleeping Computer обратило внимание, что в начале ткущей недели португальская транснациональная компания Energias de Portugal стала жертвой шифровальщика RagnarLocker. Теперь злоумышленники требуют выкуп в размере 1580 BTC (10,9 млн долларов или 9,9 млн евро).
Energias de Portugal представляет собой транснациональный холдинг, который занимается производством, распределением по сетям и сбытом электроэнергии, а также закупками, доставкой и сбытом природного газа. Energias de Portugal является самой крупной производственной компанией в Португалии, а также одним из крупнейших производителей ветряной электроэнергии в мире. Компания представлена в 19 странах и на 4 континентах, имеет более 11 500 сотрудников и обеспечивает энергией более 11 миллионов клиентов.
Операторы шифровальщика RagnarLocker утверждают, что во время атаки они похитили у компании более 10 Тб конфиденциальных файлов, и теперь угрожают их «сливом» в открытый доступ, если не будет выплачен выкуп. В качестве предупреждения злоумышленники уже обнародовали файл edpradmin2.kdb – БД менеджера паролей KeePass. В этой базе можно обнаружить информацию об именах пользователей, паролях, аккаунтах, URL-адресах и заметках сотрудников Energias de Portugal.
Согласно записке с требованием выкупа, оставленной в системах компании, злоумышленникам также удалось похитить конфиденциальную информацию о выставлении счетов, контрактах, транзакциях, клиентах и партнерах Energias de Portugal.
Также издание сообщает, что операторы Ragnar Locker издевались над сотрудниками компании через «чат для клиентов», который хакеры используют для общения со своими жертвами. В частности, атакующие просили пострадавших ознакомиться со статьей о компании на сайте, где публикуются утечки, и интересовались, готова ли компания обнаружить свою личную информацию в новостях, технических блогах и на биржевых ресурсах.
Представители Energias de Portugal заверили журналистов Bleeping Computer, что данная атака не повлияла на критически важную инфраструктуру компании и энергообеспечение:
«В понедельник, 13 апреля, EDP стала жертвой компьютерной атаки на корпоративную сеть, которая является важной частью наших сервисов и операций. Но службы электроснабжения и критически важная инфраструктура компании не подверглись компрометации, и мы продолжаем работу в штатом режиме.
В настоящее время проводится оценка ситуации, а ряд команд уже занимается восстановлением нормального функционирования систем. Это будет сделано как можно скорее и является нашим главным приоритетом.
EDP уже сотрудничает с властями, которые были немедленно уведомлены об инциденте, и старается определить источник и природу атаки. На данный момент нам ничего неизвестно о предполагаемом требовании выкупа, мы видели лишь эту информацию, которая была опубликована в СМИ».