Всичко, което знаем за кибератаката срещу Endesa и Energía XXI

Неотдавнашните Кибератака срещу Endesa и нейния регулиран доставчик на енергия Energía XXI Това повдигна опасения относно защитата на личните данни в енергийния сектор. Компанията е признала, че неоторизиран достъп към търговската си платформа, която е разкрила чувствителна информация за милиони потребители в Испания.

Според изявленията на компанията до засегнатите, инцидентът е позволил на нападател да извличане на данни, свързани с договори за електроенергия и газвключително информация за контакт, документи за самоличност и банкови данни. Въпреки че доставките на електроенергия и газ не са били компрометирани, мащабът на нарушението го прави един от най-деликатните епизоди през последните години в европейския енергиен сектор.

Как се е случила атаката срещу платформата Endesa

Електроснабдителната компания обясни, че злонамерен актьор успя да преодолее въведените мерки за сигурност на тяхната търговска платформа и достъп бази данни, които съдържат информация за клиентите както от Endesa Energía (свободен пазар), така и от Energía XXI (регулиран пазар). Инцидентът е станал в края на декември и Това излезе наяве, когато подробности за предполагаемия грабеж започнаха да се разпространяват във форумите на тъмната мрежа..

Ендеса описва случилото се като „неоторизиран и незаконен достъп“ освен търговските си системи. Въз основа на първоначален вътрешен анализ, компанията заключава, че нарушителят би имал достъп и би могъл да се измъкне различни блокове информация, свързани с енергийните договори, въпреки че твърди, че идентификационни данни за вход потребителите са останали в безопасност.

Кибератаката, според източници от компанията, е станала въпреки вече въведените мерки за сигурност и наложи щателен преглед на неговото технически и организационни процедуриУспоредно с това е започнато вътрешно разследване в сътрудничество с доставчиците на технологии, за да се реконструира подробно как е станало проникването.

Докато разследването продължава, Endesa подчертава, че Търговските им услуги продължават да работят нормалноВъпреки че достъпът на някои потребители е блокиран като мярка за ограничаване, приоритетът през тези първи няколко дни е бил да се идентифицират засегнатите клиенти и да се уведомят директно за случилото се.

Какви данни са били компрометирани при кибератаката

Комуникационните данни на компанията, до които нападателят е имал достъп основна лична и контактна информация (име, фамилия, телефонни номера, пощенски адреси и имейл адреси), както и информация, свързана с договори за доставка на електроенергия и газ.

Потенциално изтеклата информация включва също документи за самоличност, като например DNI (национален документ за самоличност) и в определени случаи, IBAN кодове на банкови сметки свързани с плащания на сметки. Тоест, не само административни или търговски данни, но и особено чувствителна финансова информация.

Освен това, различни източници и течове на информация, публикувани в специализирани форуми, предполагат, че компрометираните данни биха включвали енергийна и техническа информация подробна информация, като например CUPS (уникален идентификатор на точката на доставка), история на фактуриране, активни договори за електроенергия и газ, регистрирани инциденти или регулаторна информация, свързана с определени клиентски профили.

Компанията обаче настоява, че паролите за достъп до частните зони от Endesa Energía и Energía XXI не са били засегнати поради инцидента. Това означава, че по принцип нападателите не биха имали необходимите ключове за директен достъп до онлайн акаунтите на клиентите, въпреки че имат достатъчно данни, за да се опитат да ги заблудят чрез персонализирана измама.

Част от бившите клиенти на компанията също започна да получава известия предупреждавайки ги за потенциалното излагане на техните данни, което предполага, че нарушението засяга исторически записи, а не само текущо активни договори.

Версията на хакера: над 1 TB и до 20 милиона записа

Докато Endesa анализира точния обхват на инцидента, киберпрестъпникът, който поема отговорност за атаката, наричайки себе си „Испания“ в тъмната мрежаТой е предлагал своя собствена версия на събитията в специализирани форуми. Според неговите думи, той е успял да получи достъп до въпросните системи на компанията. малко повече от два часа и да извлечете база данни във формат .sql, по-голяма от 1 терабайт.

В тези форуми Испания твърди, че е получила данни от около 20 милиона душицифра, която далеч надхвърля приблизително десетте милиона клиенти, които Endesa Energía и Energía XXI имат в Испания. За да докаже, че това не е блъф, нападателят дори публикува извадка от около 1.000 записа с реални и проверени данни за клиентите.

Самият киберпрестъпник се е свързал с медии, специализирани в киберсигурността. предоставяне на конкретна информация от журналисти, които са имали договори с Endesa в подкрепа на автентичността на изтичането на информация. Тези медии потвърдиха, че предоставените данни съответстват на сравнително скорошни договори за вътрешни доставки.

Испания уверява, че засега не е продал базата данни на трети страниВъпреки че признава, че е получил оферти до 250 000 долара за приблизително половината от открадната информация, в съобщенията си той твърди, че предпочита да преговаря директно с енергийната компания, преди да финализира каквито и да било сделки с други заинтересовани страни.

В някои от тези обмени хакерът критикува компанията за липсата на реакция, заявявайки, че „Не са се свързали с мен; не ги е грижа за клиентите си.“ и заплашват да публикуват повече информация, ако не получат отговор. Endesa, от своя страна, поддържа предпазлива публична позиция и се ограничава до потвърждаване на инцидента, без да коментира твърденията на нападателя.

Възможно изнудване и преговори с компанията

След като пробивът в сигурността беше оповестен публично, сценарият се разви в опит за оказване на натиск върху компаниятаКиберпрестъпникът твърди, че е изпратил имейли до няколко корпоративни адреса на Endesa, опитвайки се да започне преговори, по начин, наподобяващ... тактика за изнудване без първоначално определен откуп.

Както самият Испания обясни пред някои медии, намерението му би било да се споразумеете с Endesa за финансова сума и краен срок в замяна на това да не продава или разпространява открадната база данни. Засега той твърди, че не е разкрил публично конкретна цифра и очаква отговор от енергийната компания.

Междувременно нападателят настоява, че ако не успее да постигне каквото и да е споразумение, ще бъде принуден да приемане на оферти от трети страни които са проявили интерес към придобиването на данните. Тази стратегия се вписва във все по-често срещан модел в киберпрестъпността, където кражбата на лични и финансови данни се използва като лост за оказване на натиск върху големи компании.

От правна и регулаторна гледна точка, всякакви плащания за откуп или тайни споразумения Това отваря сложен етичен и правен сценарий.Поради това компаниите обикновено избягват да коментират подобни контакти. В този случай Endesa просто повтори, че сътрудничи със съответните органи и че неин приоритет е защитата на клиентите си.

Междувременно силите за сигурност започнаха да проследяване на активността на нападателя в тъмната мрежа Властите вече събират доказателства, за да го идентифицират. Някои източници предполагат, че нападението може да е извършено в Испания, въпреки че все още няма официално потвърждение относно истинската самоличност на Испания.

Официален отговор от Endesa и действия, предприети от властите

След няколко дни на спекулации и публикации в подземни форуми, Endesa започна да изпращане на имейли до потенциално засегнати клиенти обяснявайки какво се е случило и предлагайки основни препоръки за защита. В тези съобщения компанията признава за неоторизиран достъп и накратко описва вида на компрометираните данни.

Компанията твърди, че веднага щом инцидентът е бил открит, активира вътрешните си протоколи за сигурностКомпанията блокира компрометираните идентификационни данни и внедри технически мерки за овладяване на атаката, ограничаване на нейните последици и опит за предотвратяване на повторно случване на подобен инцидент. Наред с други действия, тя провежда специален мониторинг на достъпа до своите системи, за да идентифицира всяко аномално поведение.

В съответствие с европейските разпоредби за защита на данните, Endesa е докладвала за нарушението на Испанска агенция за защита на данните (AEPD) и до Национален институт по киберсигурност (INCIBE)Силите и корпусът на държавна сигурност също са уведомени и са започнали производство за разследване на събитията.

Компанията настоява, че действа с „Прозрачност“ и сътрудничество с властитеИ не забравяйте, че задължението за уведомяване се разпростира както върху регулаторните органи, така и върху самите потребители, които биват информирани поетапно, когато конкретният обхват на изтичането стане по-ясен.

Потребителски асоциации като Facua са поискали от AEPD да започване на щателно разследване Разследването има за цел да определи дали електроснабдителната компания е разполагала с адекватни мерки за сигурност и дали управлението на нарушенията се извършва в съответствие с разпоредбите. Фокусът е върху, наред с други аспекти, скоростта на реакция, предварителната защита на системите и мерките, които ще бъдат предприети в бъдеще за минимизиране на рисковете.

Реални рискове за клиентите: кражба на самоличност и измама

Въпреки че Endesa твърди в своите изявления, че счита „малко вероятно“ инцидентът да доведе до вреда с висок риск Що се отнася до правата и свободите на клиентите, експертите по киберсигурност предупреждават, че разкриването на този тип информация отваря вратата за множество сценарии за измами.

С информация като пълно име, номер на лична карта, адрес и IBAN, Киберпрестъпниците могат да се представят за някого. на жертвите с висока степен на правдоподобност. Това им позволява например да се опитат да сключат договори за финансови продукти на тяхно име, да променят данни за контакт в определени услуги или да завеждат искове и административни процедури, преструвайки се на законен собственик.

Друг очевиден риск е масово използване на информация за фишинг и спам кампанииНападателите могат да изпращат имейли, SMS съобщения или да осъществяват телефонни обаждания, представяйки се за Endesa, банки или други компании, включително реални данни за клиентите, за да спечелят доверието им и да ги убедят да предоставят повече информация или да извършат спешни плащания.

Фирмата за сигурност ESET настоява, че Опасността не свършва в деня, в който бъде съобщено за нарушениетоИнформацията, получена при подобна атака, може да се използва повторно в продължение на месеци или дори години, комбинирана с други данни, откраднати при предишни инциденти, за изграждане на все по-сложни и трудни за откриване измами. За да се разберат техническите последици от масивна инфекция, е полезно да се прегледа какво се случва, ако дадена машина е дълбоко компрометирана: Какво се случва, ако компютърът ми е заразен със зловреден софтуер?.

Ето защо властите и експертите подчертават важността на поддържайте бдително отношение в средносрочен и дългосрочен планкато периодично преглежда банкови транзакции, необичайни известия и всяка комуникация, която изглежда дори леко подозрителна, дори ако е минало известно време от първоначалния инцидент.

Препоръки за засегнатите от нападението срещу Ендеса

Специализираните организации и самите компании за киберсигурност са разпространили поредица от практически мерки за минимизиране на въздействието на този тип нарушение сред потребителите. Първото е да се внимава за всяка неочаквана комуникация, която се отнася до инцидента или до лични и финансови данни.

Ако получавате имейли, текстови съобщения или обаждания, които изглеждат като от Endesa, банка или друга организация и които включват връзки, прикачени файлове или спешни заявки за данниПрепоръката е да не кликвате върху никакви връзки или да предоставяте каквато и да е информация, а ако имате съмнения, свържете се директно с компанията чрез официалните ѝ канали. По-добре е да отделите няколко минути, за да проверите автентичността на съобщението, отколкото да рискувате да попаднете в измама. В тези случаи е полезно да знаете как да блокирате злонамерени източници: Как да блокирате уебсайт.

Въпреки че Endesa настоява, че паролите на клиентите ѝ Те не са били компрометирани при тази атакаЕкспертите съветват да се възползвате от тази възможност, за да подновите паролите за достъп до важни услуги и, когато е възможно, да активирате системи за двуфакторно удостоверяванеТози допълнителен слой сигурност прави много по-трудно за нападателя да получи достъп до акаунт, дори ако успее да получи паролата.

Препоръчва се също често проверявайте банковите си сметки и други финансови услуги, свързани с изтеклите данни, за откриване на неоторизирани транзакции или необичайни такси. Ако подозирате, че информация е била предоставена на потенциален измамник, препоръчително е незабавно да уведомите банката и да подадете полицейски доклад.

Безплатни услуги, като например Омагьосан ли съм Те ви позволяват да проверите дали даден имейл адрес или други данни са се появили при известни нарушения на данните. Въпреки че не предлагат абсолютна защита, те ви помагат да получите по-ясна представа за изложеността си и да вземате информирани решения относно промяна на паролата и други превантивни мерки.

Налични са телефонни линии за помощ и официални канали

За да разреши съмнения и да канализира инциденти, свързани с кибератаката, Endesa е активирала специални телефонни линии за съдействиеКлиентите на Endesa Energía могат да се обадят на безплатния номер 800 760 366, докато потребителите на Energía XXI имат 800 760 250 да изискват информация или да докладват за открити аномалии.

В изпратените съобщения компанията моли потребителите да Обърнете специално внимание на всякакви подозрителни комуникации през следващите дни и незабавно да докладват, ако получат съобщения или обаждания, които пораждат недоверие, било то чрез тези телефони или чрез контакт със силите за сигурност.

В допълнение към собствените канали на Endesa, гражданите могат да използват и Помощна служба на Националния институт за киберсигурност, който разполага с безплатен телефонен номер 017 и номер за WhatsApp 900 116 117 за разрешаване на запитвания, свързани с дигитална сигурност, онлайн измами и защита на данните.

Тези ресурси са насочени към физически лица, фирми и професионалисти и позволяват получите експертно ръководство относно стъпките, които трябва да предприемете, ако подозирате, че сте станали жертва на измама или ако искате да засилите сигурността на вашите акаунти и устройства след нарушение на данните.

Служителите на реда препоръчват да се докладва за всеки опит за измами, свързан с този инцидент. подадете официална жалба до полицията или Гражданската гвардияпредоставяне на имейли, съобщения или екранни снимки, които могат да послужат като доказателства в бъдещо разследване.

Още една атака от вълната от киберинциденти срещу големи компании

Случаят с Ендеса допълва нарастваща тенденция на кибератаки срещу големи компании в Испания и Европа, особено в стратегически сектори като енергетика, транспорт, финанси и телекомуникации. През последните месеци компании като Iberdrola, Iberia, Repsol или Banco Santander Те също са страдали инциденти, които са компрометирали данните на милиони клиенти.

Този тип атака отразява как престъпните групи са се изместили от фокусиране върху чисто финансови цели към Фокус върху критичната инфраструктура и мултинационалните корпорациикъдето стойността на открадната информация и възможността за оказване на натиск върху компаниите е много по-голяма. Целта вече не е просто получаване на незабавна печалба, а придобиване на данни, които могат да бъдат използвани дълго време.

На европейско ниво властите от години насърчават по-строги регулации, като например Общ регламент за защита на данните (ОРЗД) или директивата NIS2 за киберсигурност, която изисква от компаниите да подобрят системите си за защита и бързо да докладват за всички съответни инциденти.

Течът, понесен от Endesa, подчертава, че въпреки тези регулаторни подобрения, Все още съществува значителна разлика между теоретичните изисквания и реалността на много технологични инфраструктури. Сложността на наследените системи, взаимосвързаността с множество доставчици и непрекъснато нарастващата стойност на данните правят тези компании много привлекателна цел.

За потребителите този сценарий означава, че е от основно значение комбинирайте доверие в доставчиците на услуги с проактивно отношение към самозащитаДа се ​​научим да разпознаваме предупредителни знаци и да прилагаме основни насоки за дигитална хигиена, като например правилно управление на пароли или проверка на чувствителни комуникации.

Кибератаката срещу Endesa и Energía XXI показва до каква степен пробив в търговската платформа на голяма електроенергийна компания може... разкриване на лични и финансови данни на милиони хора и да водят до опити за изнудване, кражба на самоличност и фишинг атаки. Докато властите разследват и компанията укрепва системите си, най-добрата защита за клиентите е да бъдат информирани, да бъдат изключително внимателни с всякакви подозрителни съобщения и да разчитат на официални канали и препоръките на експерти по киберсигурност.