专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

电力公司勒索事件后续来了--Lynx勒索软件团伙浮出

网空闲话plus · 公众号 · · 2024-12-12 07:11

正文

罗马尼亚国家网络安全局（DNSC）12月11日确认，Lynx勒索软件团伙攻击了该国最大的电力供应商之一Electrica Group。Electrica为超过380万用户提供电力供应和能源服务。该公司已与国家网络安全部门合作调查此次勒索软件攻击。罗马尼亚能源部长表示，公司的SCADA和其他关键系统已隔离，未受攻击影响。DNSC提供了YARA脚本帮助检测网络受攻击迹象，并建议不要支付赎金，同时建议能源领域实体使用该脚本扫描IT基础设施以查找恶意文件。

前情回顾

罗马尼亚电力公司Electrica周一（12月9日）警告投资者，该公司正在与国家网络安全部门合作调查“正在进行的”勒索软件攻击。罗马尼亚能源部长Sebastian Burduja补充说，该公司的SCADA和其他关键系统已被隔离，未受到攻击的影响。

上市电力公司遭勒索！

最新进展

12月11日，参与调查的机构之一DNSC透露，Lynx勒索软件行动是此次事件的罪魁祸首。它还提供了一个YARA脚本，以帮助其他安全团队检测其网络上受到攻击的迹象。

DNSC表示：“根据现有数据，关键供电系统未受到影响且仍在运行，调查正在进行中。如果发生勒索软件感染，该局强烈建议不要支付攻击者要求的赎金。”

“DNSC建议所有实体，特别是能源领域的实体，无论是否受到网络犯罪集团LYNX Ransomware支持的勒索软件攻击的影响，都使用YARA扫描脚本扫描自己的 IT＆C 基础设施中是否存在恶意二进制文件（加密器）。

Lynx勒索软件团伙尚未正式宣布对此次攻击负责，也没有在其数据泄露网站上将Electrica列为受害者，这表明攻击者尚未联系该公司或已向该公司施压，要求其满足赎金要求。

Lynx勒索软件的活动

Lynx勒索软件至少自2024年7月起就一直活跃，自8月以来其明确的网络数据泄露网站已增加了78多名受害者。

据互联网安全中心(CIS)称，声称的受害者名单包括多个美国设施和20多个能源、石油和天然气行业的实体，这些名单是在2024年7月至2024年11月期间添加的。

Lynx运营商一直在使用一种加密器，该加密器可能基于INCRansom恶意软件的源代码，据称该恶意软件于5月份在Exploit和XSS黑客论坛上以30万美元的价格出售。然而，这也可能是一次品牌重塑，旨在帮助INCRANSOM在较少的执法审查下运作。

BleepingComputer在8月份证实，根据字符串分析，Lynx勒索软件和最近的INC加密器大致相同。

INC与Lynx勒索软件字符串比较（BleepingComputer）

自2023年7月作为勒索软件即服务(RaaS)行动出现以来，INCRansom还入侵了许多教育、医疗保健、政府和工业实体，包括菲律宾雅马哈摩托车公司、苏格兰国家医疗服务体系(NHS)和施乐商业解决方案美国分部(XBS)。

此前，罗马尼亚宪法法院(CCR)根据大量信息宣布今年的总统选举无效，该信息表明与俄罗斯有关的大规模TikTok影响活动影响了第一轮选举的结果，随后Electrica勒索软件攻击就发生了。

电力公司勒索事件后续来了--Lynx勒索软件团伙浮出

正文

请到「今天看啥」查看全文