Зачем писать вирусы, если есть Windows? Как стандартная утилита стала оружием против целой страны

В крупнейшем угольном энергетическом предприятии Румынии — компании Oltenia Energy Complex — произошёл серьёзный инцидент, вызванный вредоносной программой-вымогателем. Атака, зафиксированная в ночь на 26 декабря, привела к сбоям в работе цифровых систем и временной недоступности ряда внутренних сервисов. Хотя производственные процессы были частично нарушены, поставка энергии на национальном уровне осталась стабильной.

Oltenia Energy Complex (CE Oltenia) — это ключевой поставщик электроэнергии в Румынии, использующий бурый уголь. Компания управляет 12 энергетическими блоками на площадках в Ровинари, Турчени и Крайове, а также разрабатывает 15 открытых шахт, добывая от 15 до 18 миллионов тонн угля в год. В последние годы предприятие находится в процессе реструктуризации и активно инвестирует в новые источники энергии, включая солнечные электростанции и газовые установки. На данный момент численность сотрудников составляет около 10 тысяч человек.

Киберинцидент был вызван программой-вымогателем под названием Gentlemen. В результате атаки были зашифрованы внутренние документы, а также нарушена работа ключевых бизнес-приложений, включая системы управления ресурсами, документооборот, корпоративную почту и официальный сайт. Специалисты компании оперативно изолировали поражённые узлы и начали восстановление работы на резервных платформах. Одновременно ведётся внутреннее расследование для выяснения масштаба проникновения и возможной утечки данных.

Сообщается, что уведомления об инциденте были направлены в Национальное управление по кибербезопасности и Министерство энергетики. Кроме того, компания обратилась с официальным заявлением в Управление по борьбе с организованной преступностью и терроризмом. Пока неизвестно, имели ли злоумышленники доступ к конфиденциальной информации. Также не подтверждено, велись ли переговоры о выкупе, однако сам факт отсутствия упоминания компании на сайте утечек группы Gentlemen может свидетельствовать о том, что контакты между сторонами всё ещё продолжаются.

За последние недели это уже второй крупный инцидент в Румынии. Ранее аналогичной атаке подверглось Национальное управление водных ресурсов страны. Тогда вредоносное ПО поразило около тысячи систем в центральном офисе и десяти региональных отделениях. Были зашифрованы серверы геоинформационных систем, базы данных, почта и веб-сервисы, а также компьютеры с операционной системой Windows и серверы доменных имён. При этом инфраструктура, связанная с управлением водными объектами, не пострадала, и снабжение продолжилось без перебоев.

По информации специалистов, изучающих инцидент, в атаках использовалась встроенная функция шифрования Windows — BitLocker. Злоумышленники оставили требования о связи в течение семи дней, однако точный способ проникновения в систему пока не установлен.