การประปาโรมาเนียโดนแรนซัมแวร์เล่นงาน การดำเนินงานสะดุด
หน่วยงานจัดการน้ำแห่งชาติของโรมาเนีย (Administrația Națională Apele Române) กลายเป็นเป้าหมายล่าสุดของการโจมตีแรนซัมแวร์สุดโหดเมื่อสุดสัปดาห์ที่ผ่านมา ทำให้ระบบคอมพิวเตอร์กว่า 1,000 เครื่องในสำนักงานกลางและ 10 จาก 11 สำนักงานภูมิภาคหยุดชะงักทันที. หน่วยงานความมั่นคงไซเบอร์แห่งชาติ (DNSC) ยืนยันว่าการโจมตีกระทบเซิร์ฟเวอร์ระบบสารสนเทศภูมิศาสตร์ ฐานข้อมูล อีเมล บริการเว็บ สถานีงาน Windows และเซิร์ฟเวอร์ชื่อโดเมน แต่ระบบควบคุมโครงสร้างพื้นฐานน้ำ (OT) ยังทำงานปกติโดยไม่ได้รับผลกระทบ
ใช้ BitLocker ล็อกไฟล์เรียกร้องค่าไถ่
กลุ่มแฮกเกอร์ใช้คุณสมบัติรักษาความปลอดภัยในตัวของ Windows คือ BitLocker เพื่อล็อกไฟล์ในระบบที่ถูกเจาะ จากนั้นทิ้งจดหมายเรียกค่าไถ่สั่งให้ติดต่อภายใน 7 วัน โดยหน่วยงานข่าวกรองไซเบอร์แห่งชาติและหน่วยงานรักษาความมั่นคงหลายแห่งกำลังสืบสวนและควบคุมสถานการณ์
หน่วยงานน้ำโรมาเนียย้ำว่าการดำเนินงานโครงสร้างไฮโดรเทคนิคยังคงปกติผ่านศูนย์ควบคุมด้วยการสื่อสารทางเสียง โดยเจ้าหน้าที่ท้องที่ดูแลและประสานงานกัน ทำให้การพยากรณ์และป้องกันน้ำท่วมไม่สะดุด แม้ยังไม่ทราบช่องทางบุกรุกหรือกลุ่มผู้กระทำผิด แต่เจ้าหน้าที่กำลังเร่งเชื่อมระบบโครงสร้างพื้นฐาน IT สำคัญเข้ากับศูนย์ป้องกันของ National Cyberint Center.
บทเรียนจากคลื่นแรนซัมแวร์ถาโถมโรมาเนีย
เหตุการณ์นี้เป็นส่วนหนึ่งของคลื่นโจมตีแรนซัมแวร์ที่ถาโถมหน่วยงานสำคัญในโรมาเนีย โดยก่อนหน้านี้ Electrica Group ผู้ผลิตและจำหน่ายไฟฟ้าถูก Lynx ransomware บุกเมื่อปีที่แล้ว ขณะที่โรงพยาบาลกว่า 100 แห่งต้องปิดระบบหลัง Backmydata ransomware ในกุมภาพันธ์ 2024
ล่าสุด CISA และหน่วยงานนานาชาติเตือนถึงกลุ่มแฮกติวิสต์ฝ่ายรัสเซีย เช่น Z-Pentest, Sector16, NoName และ CARR ที่เล็งโครงสร้างพื้นฐานทั่วโลก ต่อเนื่องจากกรณีโจมตีโรงงานประปาเดนมาร์กที่หน่วยข่าวกรองกล่าวหาว่ารัสเซียอยู่เบื้องหลังในปี 2024. คดีนี้ย้ำเตือนถึงความเสี่ยงของระบบ IT สำคัญที่ต้องเสริมเกราะป้องกันให้แข็งแกร่งยิ่งขึ้นทันที