欧洲能源网安警报！卢森堡电力和天然气管道公司遭BlackCat勒索攻击恐遭大规模数据泄露

ALPHV勒索软件团伙，又名BlackCat，声称对上周针对中欧国家天然气管道和电力网络运营商Creos Luxembourg SA的网络攻击负责。Creos的所有者Encevo于7月25日宣布 ，他们在7月22日至23日遭受了网络攻击，该公司在五个欧盟国家经营能源供应商。Creos Luxembourg SA在卢森堡拥有并管理电力网络和天然气管道。公司规划、建设和维护其拥有或负责管理的高、中、低压电网和高、中、低压天然气管道。

虽然网络攻击导致Encevo和Creos的客户门户不可用，但所提供的服务并未中断。

7月28日，该公司发布了网络攻击的最新消息，他们的初步调查结果表明，网络入侵者已经从被访问的系统中窃取了“一定数量的数据”。

当时，Encevo无法估计影响的范围，并恳请客户耐心等待调查结束，届时每个人都会收到个性化的通知。

由于没有在Encevo的媒体门户上发布进一步的更新，因此该程序可能仍在进行中。Encevo说，当有更多信息可用时，它将发布在网络攻击的专用网页上。

目前，建议所有客户重置他们用于与 Encevo和Creos服务交互的在线帐户凭据。此外，如果这些口令在其他网站上相同，客户也应该在这些网站上更改他们的口令。

Encevo 表示已向大公国警察局报告，并已通知卢森堡国家数据保护委员会、卢森堡监管研究所和其他“主管部门”。

Bleeping Computer已联系Creos，要求提供有关网络攻击影响的更多信息，但该公司发言人现阶段拒绝发表任何评论。

ALPHV/BlackCat勒索软件组织7月30日将Creos添加到其勒索网站，威胁要发布180,000个被盗文件，总大小为150GB，包括合同、协议、护照、账单和电子邮件。

虽然没有宣布实现这一威胁的确切时间，但黑客们发誓要在8月1日（周一）晚些时候进行披露。

ALPHV/BlackCat最近推出了一个新的勒索平台，让访问者可以搜索被盗数据 ，目的是增加受害者的压力，让他们支付赎金。在2022年7月10日下午15:35 在Dark Web发布的最新帖子中，“ALPHV”不仅通过文本签名引入了搜索，而且还支持用于搜索密码和泄露 PII 的标签。似乎一些被盗文件仍在索引中，但大部分已可用于快速导航。已识别出超过2,270个包含明文访问凭证和密码信息的索引文档，以及超过100,000 包含机密标记的文档，包括索引的电子邮件通信和敏感附件。

虽然BlackCat继续创新数据勒索，但他们似乎从未从错误中吸取教训，并继续针对可能使他们成为国际执法机构瞄准目标的知名公司。

BlackCat被认为是重新命名的DarkSide， 在对Colonial Pipeline的广为人知的勒索软件攻击后，在执法部门的压力下关闭。

关闭DarkSide后，他们重新命名为BlackMatter以逃避执法，但随着该团伙再次关闭，压力仍在继续。

自 2021年11月威胁行为者以BlackCat/ALPHV的形式重新启动以来，威胁行为者倾向于避开美国的大型目标，转而瞄准欧洲实体，如 奥地利国家、 意大利时装连锁店和 瑞士机场服务提供商。

然而，他们似乎没有从错误中吸取教训，继续攻击关键基础设施，例如2月份的德国石油供应公司 Oiltanking和现在的Creos Luxembourg。

BlackCat也称为“ALPHV”或“AlphaVM”和“AphaV”，是用Rust编程语言创建的勒索软件系列。该组织的领导人在暗网论坛上的通讯中具有相同的别名，将Rust描述为与 Lockbit和Conti相比美，Rust是他们的储物柜的竞争优势之一。尽管Blackcat和 Alpha 在TOR网络中具有完全不同的URL，但它们页面上使用的脚本场景是相同的，并且可能由相同的参与者开发。

欧盟网络安全局7月29日发布了一份报告，其中分析了2021年5月至2022年6月期间欧盟发生的 623起事件。报告发现，在勒索软件攻击期间，每月有10TB的数据被盗和外泄，而超过60% 的组织可能已经支付了赎金。