Усё, што мы ведаем пра кібератаку на Endesa і Energía XXI

Нядаўнія Кібератака на Endesa і яе рэгуляванага пастаўшчыка энергіі Energía XXI Гэта выклікала заклапочанасць з нагоды абароны персанальных дадзеных у энергетычным сектары. Кампанія прызнала, несанкцыянаваны доступ да сваёй камерцыйнай платформы, якая раскрыла канфідэнцыйную інфармацыю мільёнаў карыстальнікаў у Іспаніі.

Паводле заяў кампаніі пацярпелым, інцыдэнт дазволіў зламысніку здабываць дадзеныя, звязаныя з кантрактамі на электраэнергію і газу тым ліку кантактную інфармацыю, дакументы, якія сведчаць асобу, і банкаўскія рэквізіты. Нягледзячы на ​​тое, што пастаўкі электраэнергіі і газу не былі парушаныя, маштаб парушэння робіць яго... адзін з самых далікатных эпізодаў апошніх гадоў у еўрапейскім энергетычным сектары.

Як адбылася атака на платформу Endesa

Электракампанія патлумачыла, што гэта быў зламыснік здолелі пераадолець уведзеныя меры бяспекі на іх камерцыйнай платформе і доступе базы дадзеных, якія змяшчаюць інфармацыю пра кліентаў як ад Endesa Energía (свабодны рынак), так і ад Energía XXI (рэгуляваны рынак). Паведамляецца, што інцыдэнт адбыўся ў канцы снежня і Гэта стала вядома, калі падрабязнасці меркаванага рабавання пачалі распаўсюджвацца на форумах цёмнага вэба..

Эндэса апісвае тое, што адбылося, як «несанкцыянаваны і незаконны доступ» акрамя сваіх камерцыйных сістэм. На падставе першапачатковага ўнутранага аналізу кампанія робіць выснову, што зламыснік меў бы доступ і мог бы ўцячы розныя блокі інфармацыі, звязаныя з энергетычнымі кантрактамі, хоць і сцвярджае, што уліковыя дадзеныя для ўваходу карыстальнікі заставаліся ў бяспецы.

Кібератака, паводле звестак кампаніі, адбылася нягледзячы на ​​ўжо прынятыя меры бяспекі і прымусіла да дбайнага перагляду яго тэхнічныя і арганізацыйныя працэдурыПаралельна з гэтым сумесна з пастаўшчыкамі тэхналогій было распачата ўнутранае расследаванне з мэтай падрабязнай рэканструкцыі таго, як адбылося ўзлом.

Пакуль расследаванне працягваецца, Endesa падкрэслівае, што Іх камерцыйныя службы працягваюць працаваць у звычайным рэжымеНягледзячы на ​​тое, што доступ некаторых карыстальнікаў быў заблакаваны ў якасці меры стрымлівання, прыярытэтам у гэтыя першыя некалькі дзён было выяўленне пацярпелых кліентаў і непасрэднае апавяшчэнне іх аб тым, што здарылася.

Якія дадзеныя былі скампраметаваны падчас кібератакі

Інфармацыя пра сувязь кампаніі, да якой зламыснік атрымаў доступ асноўная асабістая і кантактная інфармацыя (імя, прозвішча, нумары тэлефонаў, паштовыя адрасы і адрасы электроннай пошты), а таксама інфармацыя, звязаная з дагаворамі на пастаўку электраэнергіі і газу.

Патэнцыйна ўцечка інфармацыі таксама ўключае дакументы, якія сведчаць асобу, такія як DNI (нацыянальны дакумент, які сведчыць асобу) і, у некаторых выпадках, IBAN-коды банкаўскіх рахункаў звязаныя з аплатай рахункаў. Гэта значыць не толькі адміністрацыйныя або камерцыйныя дадзеныя, але і асабліва канфідэнцыйная фінансавая інфармацыя.

Акрамя таго, розныя крыніцы і ўцечкі, апублікаваныя на спецыялізаваных форумах, сведчаць аб тым, што скампраметаваныя дадзеныя будуць уключаць энергетычная і тэхнічная інфармацыя падрабязная інфармацыя, такая як CUPS (унікальны ідэнтыфікатар пункта пастаўкі), гісторыя рахункаў, дзеючыя кантракты на электраэнергію і газ, зарэгістраваныя інцыдэнты або рэгулятарная інфармацыя, звязаная з пэўнымі профілямі кліентаў.

Аднак кампанія настойвае на тым, што паролі для доступу да прыватных зон ад Endesa Energía і Energía XXI не пацярпелі з-за інцыдэнту. Гэта азначае, што ў прынцыпе зламыснікі не мелі б неабходных ключоў для непасрэднага доступу да анлайн-акаўнтаў кліентаў, хоць у іх дастаткова дадзеных, каб паспрабаваць падмануць іх з дапамогай персаналізаванага махлярства.

Частка былых кліентаў кампаніі таксама пачаў атрымліваць апавяшчэнні папярэджваючы іх аб патэнцыйным раскрыцці іх дадзеных, што сведчыць аб тым, што ўцечка закранае гістарычныя запісы, а не толькі бягучыя актыўныя кантракты.

Хакерская версія: больш за 1 ТБ і да 20 мільёнаў запісаў

Пакуль Endesa аналізуе дакладны маштаб інцыдэнту, кіберзлачынец, які бярэ на сябе адказнасць за атаку, называючы сябе «Іспанія» ў цёмным сецівеЁн прапанаваў сваю ўласную версію падзей на спецыялізаваных форумах. Паводле яго слоў, яму ўдалося атрымаць доступ да сістэм кампаніі. крыху больш за дзве гадзіны і выцягнуць базу дадзеных у фармаце .sql памерам больш за 1 тэрабайт.

На гэтых форумах Іспанія сцвярджае, што атрымала дадзеныя з каля 20 мільёнаў чалавеклічба, якая значна перавышае прыблізна дзесяць мільёнаў кліентаў Endesa Energía і Energía XXI ў Іспаніі. Каб даказаць, што гэта не блеф, зламыснік нават апублікаваў выбарка з каля 1.000 запісаў з рэальнымі і праверанымі дадзенымі кліентаў.

Кіберзлачынец сам звязаўся са СМІ, якія спецыялізуюцца на кібербяспецы. прадастаўленне канкрэтнай інфармацыі ад журналістаў, якія мелі кантракты з Endesa каб пацвердзіць сапраўднасць уцечкі. Гэтыя СМІ пацвердзілі, што прадстаўленыя дадзеныя супадаюць з адносна нядаўнімі кантрактамі на пастаўкі ўнутры краіны.

Іспанія запэўнівае, што на дадзены момант не прадаваў базу дадзеных трэцім асобамНягледзячы на ​​тое, што ён прызнае, што атрымліваў прапановы да 250 000 долараў прыкладна за палову скрадзенай інфармацыі, у сваіх паведамленнях ён сцвярджае, што аддае перавагу весці перамовы непасрэдна з энергакампаніяй, перш чым заключаць якія-небудзь здзелкі з іншымі зацікаўленымі бакамі.

У некаторых з гэтых абменаў хакер крытыкуе кампанію за адсутнасць рэакцыі, заяўляючы, што «Яны са мной не звязаліся; ім пляваць на сваіх кліентаў». і пагражаюць апублікаваць дадатковую інфармацыю, калі не атрымаюць адказу. Endesa, са свайго боку, прытрымліваецца асцярожнай публічнай пазіцыі і абмяжоўваецца пацверджаннем інцыдэнту, не каментуючы заявы нападніка.

Магчымае вымагальніцтва і перамовы з кампаніяй

Пасля таго, як парушэнне бяспекі стала публічным, сцэнар ператварыўся ў спроба аказаць ціск на кампаніюКіберзлачынец сцвярджае, што разаслаў электронныя лісты на некалькі карпаратыўных адрасоў Endesa, спрабуючы пачаць перамовы, што нагадвае тактыка вымагальніцтва без першапачаткова ўстаноўленага выкупу.

Як сам Іспанія растлумачыў некаторым СМІ, яго намер быў бы дамовіцца з Endesa аб фінансавай суме і тэрміне у абмен на тое, што ён не будзе прадаваць і распаўсюджваць скрадзеную базу дадзеных. Пакуль што ён сцвярджае, што не раскрываў публічна канкрэтную лічбу і чакае адказу ад энергетычнай кампаніі.

Тым часам нападнік настойвае на тым, што калі яму не ўдасца дасягнуць якой-небудзь дамоўленасці, ён будзе вымушаны прымаць прапановы ад трэціх асоб якія праявілі цікавасць да атрымання дадзеных. Гэтая стратэгія ўпісваецца ў ўсё больш распаўсюджаную схему кіберзлачыннасці, дзе крадзеж асабістых і фінансавых дадзеных выкарыстоўваецца як рычаг ціску на буйныя кампаніі.

З юрыдычнага і рэгулятарнага пункту гледжання, любыя выплаты выкупу або таемныя пагадненні Гэта адкрывае складаную этычную і юрыдычную сітуацыю.Таму кампаніі звычайна пазбягаюць каментаваць такія кантакты. У гэтым выпадку Endesa проста паўтарыла, што супрацоўнічае з адпаведнымі органамі і што яе прыярытэт — абарона сваіх кліентаў.

Тым часам сілы бяспекі пачалі адсочваць актыўнасць зламысніка ў цёмным сеціве Улады ўжо збіраюць доказы, каб высветліць яго асобу. Некаторыя крыніцы мяркуюць, што напад мог быць адбыцца ў Іспаніі, хоць афіцыйнага пацверджання сапраўднай асобы іспанца пакуль няма.

Афіцыйны адказ ад Endesa і дзеянні, прынятыя ўладамі

Пасля некалькіх дзён здагадак і паведамленняў на падпольных форумах, Endesa пачала адпраўляць электронныя лісты патэнцыйна пацярпелым кліентам тлумачачы, што здарылася, і прапаноўваючы асноўныя рэкамендацыі па абароне. У гэтых паведамленнях кампанія прызнае несанкцыянаваны доступ і коратка апісвае тып скампраметаваных дадзеных.

Кампанія сцвярджае, што як толькі інцыдэнт быў выяўлены, актываваў свае ўнутраныя пратаколы бяспекіКампанія заблакувала ўзламаныя ўліковыя дадзеныя і ўжыла тэхнічныя меры для стрымлівання атакі, абмежавання яе наступстваў і спробы прадухіліць паўтарэнне падобнага інцыдэнту. Сярод іншых дзеянняў яна праводзіць спецыяльны маніторынг доступу да сваіх сістэм для выяўлення любых анамальных паводзін.

У адпаведнасці з еўрапейскімі правіламі абароны дадзеных, Endesa паведаміла пра парушэнне Іспанскае агенцтва па абароне дадзеных (AEPD) і да Нацыянальны інстытут кібербяспекі (INCIBE)Сілы і корпус дзяржаўнай бяспекі таксама былі апавешчаныя і пачалі расследаванне падзей.

Кампанія настойвае на тым, што дзейнічае з «Празрыстасць» і супрацоўніцтва з уладаміІ памятайце, што абавязак апавяшчэння распаўсюджваецца як на рэгулятараў, так і на саміх карыстальнікаў, якіх інфармуюць паэтапна па меры таго, як канкрэтны маштаб уцечкі становіцца больш зразумелым.

Такія спажывецкія асацыяцыі, як Facua, звярнуліся да AEPD з просьбай пачаць дбайнае расследаванне Мэта расследавання — вызначыць, ці мела энергакампанія адэкватныя меры бяспекі і ці ажыццяўляецца кіраванне парушэннямі ў адпаведнасці з правіламі. Увага, сярод іншага, надаецца хуткасці рэагавання, папярэдняй абароне сістэм і мерам, якія будуць прыняты ў будучыні для мінімізацыі рызык.

Рэальныя рызыкі для кліентаў: крадзеж асабістых дадзеных і махлярства

Нягледзячы на ​​тое, што Endesa ў сваіх заявах сцвярджае, што лічыць «малаверагодна», што інцыдэнт прывядзе да высокай рызыкі шкоды Што тычыцца правоў і свабод кліентаў, эксперты па кібербяспецы папярэджваюць, што раскрыццё такога тыпу інфармацыі адкрывае дзверы для шматлікіх сцэнарыяў махлярства.

З такой інфармацыяй, як поўнае імя, нумар пасведчання асобы, адрас і IBAN, Кіберзлачынцы могуць выдаваць сябе за кагосьці іншага. ахвяр з высокай ступенню праўдападобнасці. Гэта дазваляе ім, напрыклад, спрабаваць заключаць дамовы на фінансавыя прадукты на сваё імя, змяняць кантактныя дадзеныя ў пэўных сэрвісах або ініцыяваць прэтэнзіі і адміністрацыйныя працэдуры, выдаючы сябе за законнага ўладальніка.

Яшчэ адна відавочная рызыка — гэта масавае выкарыстанне інфармацыі для фішынгавых і спам-кампанійЗламыснікі могуць адпраўляць электронныя лісты, SMS-паведамленні або рабіць тэлефонныя званкі, выдаючы сябе за Endesa, банкі ці іншыя кампаніі, уключаючы рэальныя дадзеныя кліентаў, каб заваяваць іх давер і пераканаць іх прадаставіць больш інфармацыі або зрабіць тэрміновыя плацяжы.

Кампанія бяспекі ESET настойвае на тым, што Небяспека не сканчаецца ў дзень паведамлення пра парушэннеІнфармацыя, атрыманая ў выніку падобнай атакі, можа выкарыстоўвацца паўторна месяцамі ці нават гадамі ў спалучэнні з іншымі дадзенымі, скрадзенымі ў папярэдніх інцыдэнтах, для стварэння ўсё больш складаных і цяжкавыяўляльных махлярстваў. Каб зразумець тэхнічныя наступствы масіўнага заражэння, карысна разгледзець, што адбываецца, калі машына глыбока ўзламаная: Што адбудзецца, калі мой камп'ютар заражаны шкоднасным праграмным забеспячэннем?.

Вось чаму ўлады і эксперты падкрэсліваюць важнасць падтрымліваць пільнасць у сярэднетэрміновай і доўгатэрміновай перспектывеперыядычна правяраючы банкаўскія аперацыі, незвычайныя апавяшчэнні і любую камунікацыю, якая здаецца нават крыху падазронай, нават калі з моманту першапачатковага інцыдэнту прайшоў пэўны час.

Рэкамендацыі для тых, хто пацярпеў ад нападу на Эндэсу

Спецыялізаваныя арганізацыі і самі кампаніі па кібербяспецы распаўсюдзілі шэраг практычныя меры па мінімізацыі ўздзеяння такога тыпу парушэнняў сярод карыстальнікаў. Першы крок — быць асцярожным з любой нечаканай інфармацыяй, якая тычыцца інцыдэнту або асабістых і фінансавых дадзеных.

Калі вы атрымліваеце электронныя лісты, тэкставыя паведамленні або званкі, якія выглядаюць як ад Endesa, банка або іншай арганізацыі і ўтрымліваюць спасылкі, укладанні або тэрміновыя запыты дадзеныхРэкамендуецца не пераходзіць па спасылках і не падаваць ніякай інфармацыі, а ў выпадку сумневаў звязацца з кампаніяй непасрэдна праз яе афіцыйныя каналы. Лепш выдаткаваць некалькі хвілін на праверку сапраўднасці паведамлення, чым рызыкаваць трапіць на махлярства. У такіх выпадках карысна ведаць, як блакаваць шкоднасныя крыніцы: Як заблакаваць вэб-сайт.

Нягледзячы на ​​тое, што Endesa настойвае на тым, што паролі яе кліентаў Яны не былі пашкоджаны падчас гэтай атакіЭксперты раяць скарыстацца гэтай магчымасцю, каб абнавіць паролі доступу да важных сэрвісаў і, па магчымасці, актываваць сістэмы для двухфактарная аўтэнтыфікацыяГэты дадатковы ўзровень бяспекі значна ўскладняе зламысніку доступ да ўліковага запісу, нават калі яму ўдасца атрымаць пароль.

Таксама рэкамендуецца часта правярайце банкаўскія рахункі і іншыя фінансавыя паслугі, звязаныя з уцечкай дадзеных, для выяўлення несанкцыянаваных транзакцый або незвычайных плацяжоў. Калі вы падазраяце, што інфармацыя была прадастаўлена патэнцыйнаму махляру, рэкамендуецца неадкладна паведаміць пра гэта ў банк і падаць заяву ў паліцыю.

Бясплатныя паслугі, такія як Ці мяне падманулі? Яны дазваляюць праверыць, ці не з'явіўся адрас электроннай пошты або іншыя дадзеныя ў вядомых уцечках дадзеных. Хоць яны і не забяспечваюць абсалютнай абароны, яны дапамагаюць вам лепш зразумець узровень рызыкі і прымаць абгрунтаваныя рашэнні аб змене пароля і іншых прафілактычных мерах.

Даступныя тэлефоны даверу і афіцыйныя каналы

Каб вырашыць сумневы і накіраваць інцыдэнты, звязаныя з кібератакай, Endesa дазволіла спецыяльныя тэлефонныя лініі для дапамогіКліенты Endesa Energía могуць патэлефанаваць па бясплатным нумары 800 760 366, у той час як карыстальнікі Energía XXI маюць 800 760 250 запытваць інфармацыю або паведамляць аб любых выяўленых імі анамаліях.

У адпраўленых паведамленнях кампанія просіць карыстальнікаў Звяртайце асаблівую ўвагу на любыя падазроныя паведамленні у бліжэйшыя дні і неадкладна паведамляць, калі яны атрымліваюць паведамленні або званкі, якія выклікаюць недавер, альбо праз гэтыя тэлефоны, альбо звязаўшыся з сіламі бяспекі.

Акрамя ўласных каналаў Endesa, грамадзяне таксама могуць карыстацца Служба дапамогі Нацыянальнага інстытута кібербяспекі, які мае бясплатны нумар тэлефона 017 і нумар WhatsApp 900 116 117 для вырашэння пытанняў, звязаных з лічбавай бяспекай, анлайн-махлярствам і абаронай дадзеных.

Гэтыя рэсурсы прызначаны для прыватных асоб, прадпрыемстваў і спецыялістаў і дазваляюць атрымаць кансультацыю эксперта пра крокі, якія трэба зрабіць, калі вы падазраяце, што сталі ахвярай махлярства, або калі вы хочаце ўзмацніць бяспеку сваіх акаўнтаў і прылад пасля ўцечкі дадзеных.

Праваахоўныя органы рэкамендуюць паведамляць пра любыя спробы махлярства, звязаныя з гэтым інцыдэнтам. падаць афіцыйную скаргу ў паліцыю або грамадзянскую гвардыюпрадастаўленне электронных лістоў, паведамленняў або скрыншотаў, якія могуць служыць доказамі ў будучым расследаванні.

Яшчэ адна атака ў хвалі кіберінцыдэнтаў супраць буйных кампаній

Справа Эндэсы дадае да гэтага расце тэндэнцыя кібератак супраць буйных кампаній у Іспаніі і Еўропе, асабліва ў стратэгічных сектарах, такіх як энергетыка, транспарт, фінансы і тэлекамунікацыі. У апошнія месяцы такія кампаніі, як Iberdrola, Iberia, Repsol або Banco Santander Яны таксама пацярпелі інцыдэнты, якія паставілі пад пагрозу дадзеныя мільёнаў кліентаў.

Гэты тып нападу адлюстроўвае тое, як злачынныя групоўкі перайшлі ад выключна фінансавых мэтаў да Акцэнт на крытычна важную інфраструктуру і транснацыянальныя карпарацыідзе каштоўнасць скрадзенай інфармацыі і магчымасць аказваць ціск на кампаніі значна большыя. Мэта ўжо не проста атрымаць імгненны прыбытак, а набыць дадзеныя, якія можна выкарыстоўваць працяглы час.

На еўрапейскім узроўні ўлады гадамі прасоўвалі больш жорсткія правілы, такія як Агульны рэгламент па абароне персанальных дадзеных (GDPR) або дырэктыва NIS2 па кібербяспецы, якая патрабуе ад кампаній удасканальваць свае сістэмы абароны і хутка паведамляць аб любых адпаведных інцыдэнтах.

Уцечка інфармацыі, з якой сутыкнулася Endesa, падкрэслівае, што, нягледзячы на ​​гэтыя рэгулятыўныя дасягненні, Паміж тэарэтычнымі патрабаваннямі і рэальнасцю застаецца значны разрыў многіх тэхналагічных інфраструктур. Складанасць састарэлых сістэм, узаемасувязь з шматлікімі пастаўшчыкамі і пастаянна ўзрастаючая каштоўнасць дадзеных робяць гэтыя кампаніі вельмі прывабнай мішэнню.

Для карыстальнікаў гэты сцэнар азначае, што ён мае фундаментальнае значэнне спалучаць давер да пастаўшчыкоў паслуг з праактыўнай пазіцыяй самаабароныНавучанне распазнаванню папераджальных знакаў і прымяненню асноўных рэкамендацый па лічбавай гігіене, такіх як правільнае кіраванне паролямі або праверка канфідэнцыйных паведамленняў.

Кібератака на Endesa і Energía XXI паказвае, наколькі можа парушэнне камерцыйнай платформы буйной электраэнергетычнай кампаніі... раскрыццё асабістых і фінансавых дадзеных мільёнаў людзей і прыводзіць да спроб вымагальніцтва, крадзяжу асабістых дадзеных і фішынгавых атак. Пакуль улады праводзяць расследаванне, а кампанія ўмацоўвае свае сістэмы, найлепшай абаронай для кліентаў з'яўляецца заставацца ў курсе падзей, праяўляць крайнюю асцярожнасць пры любых падазроных паведамленнях і спадзявацца на афіцыйныя каналы і рэкамендацыі экспертаў па кібербяспецы.