歐洲能源網安警報！盧森堡電力和天然氣管道公司遭BlackCat勒索攻擊恐遭大規模數據泄露

ALPHV勒索軟件團伙，又名BlackCat，聲稱對上周針對中歐國家天然氣管道和電力網絡運營商Creos Luxembourg SA的網絡攻擊負責。Creos的所有者Encevo于7月25日宣布 ，他們在7月22日至23日遭受了網絡攻擊，該公司在五個歐盟國家經營能源供應商。Creos Luxembourg SA在盧森堡擁有并管理電力網絡和天然氣管道。公司規劃、建設和維護其擁有或負責管理的高、中、低壓電網和高、中、低壓天然氣管道。

雖然網絡攻擊導致Encevo和Creos的客戶門戶不可用，但所提供的服務并未中斷。

7月28日，該公司發布了網絡攻擊的最新消息，他們的初步調查結果表明，網絡入侵者已經從被訪問的系統中竊取了“一定數量的數據”。

當時，Encevo無法估計影響的范圍，并懇請客戶耐心等待調查結束，屆時每個人都會收到個性化的通知。

由于沒有在Encevo的媒體門戶上發布進一步的更新，因此該程序可能仍在進行中。Encevo說，當有更多信息可用時，它將發布在網絡攻擊的專用網頁上。

目前，建議所有客戶重置他們用于與 Encevo和Creos服務交互的在線帳戶憑據。此外，如果這些口令在其他網站上相同，客戶也應該在這些網站上更改他們的口令。

Encevo 表示已向大公國警察局報告，并已通知盧森堡國家數據保護委員會、盧森堡監管研究所和其他“主管部門”。

Bleeping Computer已聯系Creos，要求提供有關網絡攻擊影響的更多信息，但該公司發言人現階段拒絕發表任何評論。

ALPHV/BlackCat勒索軟件組織7月30日將Creos添加到其勒索網站，威脅要發布180,000個被盜文件，總大小為150GB，包括合同、協議、護照、賬單和電子郵件。

雖然沒有宣布實現這一威脅的確切時間，但黑客們發誓要在8月1日（周一）晚些時候進行披露。

ALPHV/BlackCat最近推出了一個新的勒索平臺，讓訪問者可以搜索被盜數據 ，目的是增加受害者的壓力，讓他們支付贖金。在2022年7月10日下午15:35 在Dark Web發布的最新帖子中，“ALPHV”不僅通過文本簽名引入了搜索，而且還支持用于搜索密碼和泄露 PII 的標簽。似乎一些被盜文件仍在索引中，但大部分已可用于快速導航。已識別出超過2,270個包含明文訪問憑證和密碼信息的索引文檔，以及超過100,000 包含機密標記的文檔，包括索引的電子郵件通信和敏感附件。

雖然BlackCat繼續創新數據勒索，但他們似乎從未從錯誤中吸取教訓，并繼續針對可能使他們成為國際執法機構瞄準目標的知名公司。

BlackCat被認為是重新命名的DarkSide， 在對Colonial Pipeline的廣為人知的勒索軟件攻擊后，在執法部門的壓力下關閉。

關閉DarkSide后，他們重新命名為BlackMatter以逃避執法，但隨著該團伙再次關閉，壓力仍在繼續。

自 2021年11月威脅行為者以BlackCat/ALPHV的形式重新啟動以來，威脅行為者傾向于避開美國的大型目標，轉而瞄準歐洲實體，如 奧地利國家、 意大利時裝連鎖店和 瑞士機場服務提供商。

然而，他們似乎沒有從錯誤中吸取教訓，繼續攻擊關鍵基礎設施，例如2月份的德國石油供應公司 Oiltanking和現在的Creos Luxembourg。

BlackCat也稱為“ALPHV”或“AlphaVM”和“AphaV”，是用Rust編程語言創建的勒索軟件系列。該組織的領導人在暗網論壇上的通訊中具有相同的別名，將Rust描述為與 Lockbit和Conti相比美，Rust是他們的儲物柜的競爭優勢之一。盡管Blackcat和 Alpha 在TOR網絡中具有完全不同的URL，但它們頁面上使用的腳本場景是相同的，并且可能由相同的參與者開發。

歐盟網絡安全局7月29日發布了一份報告，其中分析了2021年5月至2022年6月期間歐盟發生的 623起事件。報告發現，在勒索軟件攻擊期間，每月有10TB的數據被盜和外泄，而超過60% 的組織可能已經支付了贖金。