Кибератаки на инфраструктуру, похоже, становятся частью повседневной жизни. Последняя из них затронула румынские органы управления водными ресурсами, выведя из строя около 1000 компьютеров и затронув 10 из 11 региональных отделений страны из-за враждебного шифрования данных (программы-вымогатели).
Пока ни одна преступная группа не взяла на себя ответственность за эту акцию, но злоумышленники оставили сообщение с требованием связаться с ними в течение семи дней. Пострадавшие системы управления включают электронную почту, веб-сервисы, базы данных и геоинформационные системы. Как и следовало ожидать, пострадали также рабочие станции Windows и серверы доменных имен.
К счастью, краны в Румынии по-прежнему текут свободно, поскольку, по сообщениям, никакие реальные системы управления водными ресурсами не были затронуты, и “деятельность по управлению [системами] осуществляется в нормальных параметрах посредством диспетчерских и голосовых сообщений”. Это большая удача, чем та, что постигла Данию в 2024 году, когда аналогичная атака на инфраструктуру привела к реальным прорывам труб.
Национальный директорат по кибербезопасности Румынии (DNSC) заявляет, что вектор атаки остается неустановленным, но шифрование данных было выполнено с использованием собственного BitLocker от Windows, а не какого-либо более экзотического инструмента. DNSC и Служба разведки Румынии расследуют инцидент и пытаются восстановить системы инфраструктуры, хотя никаких дополнительных подробностей пока не появилось.
Хотя эта последняя атака не была заявлена какой-либо конкретной группой, на первый взгляд она соответствует общей схеме подобных атак на инфраструктуру западных стран, что некоторые европейские страны описали как “гибридную войну”.
Буквально на прошлой неделе Дания официально обвинила Россию в двух кибератаках на свою инфраструктуру. В 2024 году пророссийская группа Z-Pentest атаковала датские системы управления водными ресурсами, сумев изменить давление воды и прорвать три трубы в Кёге, к югу от Дании, оставив 500 домов без воды на несколько часов. А в 2025 году другая пророссийская группа NoName057(16) осуществила атаку типа “отказ в обслуживании” на датские веб-сайты перед выборами. Германия заняла аналогичную позицию ранее в этом месяце, приписав атаку на системы управления воздушным движением Германии в 2024 году российской группе Fancy Bear.
Независимо от того, кто стоит за атакой, большинство системных администраторов скажут вам, что, к сожалению, кибербезопасность по умолчанию является одним из наименее приоритетных пунктов в любой установке и обычно рассматривается как препятствие для работы. Уроки почти всегда усваиваются только тогда, когда происходит атака, и даже тогда они часто быстро забываются. Возможно, серебряная подкладка этих недавних кибератак — это возросшая осведомленность общественности.
Автор – Bruno Ferreira
