ルーマニア水管理局(Administrația Națională Apele Române)という同国の水管理当局が、週末にランサムウェア攻撃を受けた。
国家サイバーセキュリティ局(DNSC)の当局者は日曜日、この事件により国家水管理当局の約1,000台のコンピューターシステムと、11ある地域事務所のうち10か所が影響を受けたと述べた。
侵害は地理情報システム、データベース、メール、Webサービスを稼働させるサーバーに加え、Windowsワークステーションおよびドメインネームサーバーにも影響したが、水インフラを制御する運用および運用技術(OT)システムは影響を受けていない。
現在この事件を調査し影響の封じ込めに取り組んでいる、ルーマニア情報庁の国家サイバーインテリジェンスセンターを含む複数のルーマニア治安機関の捜査官は、攻撃者がWindowsに組み込まれたBitLockerのセキュリティ機能を使って侵害されたシステム上のファイルをロックし、その後、7日以内に連絡するよう要求する身代金メモを残していたことを突き止めた。
「ルーマニア水管理局は、水利資産の運用は音声通信を用いる指令センターを通じてのみ行われると明記している。水利構造物は安全であり、現場のサービス要員がローカルで運用し、指令センターが調整している」とDNSCは日曜日の勧告で述べた。
ルーマニアのサイバーセキュリティ機関は、同国の重要ITインフラ向け国家サイバーセキュリティシステムが攻撃前には水管理当局のインフラを保護していなかった一方で、当局は現在、国家サイバーインテリジェンスセンターが運用する防護システムへ統合する作業を進めていると述べた。
捜査は継続中、犯行主体の特定なし
日曜日の更新情報で当局者は、攻撃経路はまだ特定されておらず、国家水管理当局の業務はこの事件の影響を受けていないと述べた。
「水利構造物の指令・運用は、電話および無線通信を用い、通常の範囲内のパラメータで実施されている。水利構造物は安全であり、現場のサービス要員がローカルで運用し、指令員が調整している。予測および洪水防護活動も影響を受けていない」とDNSCは月曜日の更新で付け加えた。
現時点でいかなるランサムウェア組織や国家支援の脅威グループも犯行声明を出しておらず、ルーマニア水管理局も攻撃主体を特定していないが、この事件は、2024年に発生した破壊的な水道事業者へのサイバー攻撃をロシアが画策したとデンマーク情報当局者が非難したことに続くものだ。
12月初旬、FBI、NSA、欧州サイバー犯罪センター(EC3)、および世界各地のさまざまなサイバーセキュリティ機関・法執行機関とともに、CISAは警告した。Z-Pentest、Sector16、NoName、CARR(Cyber Army of Russia Reborn)を含む親ロシアのハクティビスト集団が、世界中の重要インフラ組織を標的にしているという。
これは近年ルーマニアを襲った主要なランサムウェア攻撃の最新例だ。ルーマニアの大手電力供給・配電事業者であるElectrica Groupも、1年前にLynxランサムウェア集団によって侵害され、また2024年2月のBackmydataランサムウェア攻撃が医療管理システムを混乱させた後、ルーマニア全土の100以上の病院がシステムをオフラインにせざるを得なかった。
