DESFA, el mayor proveedor de gas natural de Grecia, ha reconoció el pasado fin de semana haber sufrido un ciberataque en parte de su infraestructura. Los actores de amenazas habrían intentado obtener acceso a archivos electrónicos.
La empresa no niega que se ha producido un impacto en la disponibilidad de ciertos sistemas y ha podido haber fuga de una serie de datos y archivos.
“Logramos asegurar y continuar la operación del Sistema Nacional de Gas Natural (SNS) de manera segura y confiable”, explica la compañía en un comunicado. “La gestión de DESFA continúa operando sin contratiempos y DESFA sigue suministrando gas natural a todos los puntos de entrada y salida del país de manera segura y adecuada", afirman.
La compañía de gas asegura estar investigando las causas fundamentales del ataque y haber movilizado "equipos de expertos técnicos y especialistas para que nos ayuden en este asunto y para que los sistemas vuelvan a funcionar lo antes posible”.
Para proteger a sus clientes y socios la empresa griega decidió desactivar la mayoría de sus servicios de TI de manera temporal.
DEFSA puso en manos de las autoridades el incidente y mostró su voluntad se seguir trabajando con el Ministerio de Gobernanza Digital, la Autoridad de Protección de Datos, la Fiscalía de Delitos Electrónicos de la Policía Helénica, el Estado Mayor de la Defensa Nacional (GEETHA), así como el Ministerio del Ambiente y de Energía y la Autoridad Reguladora de Energía para resolver el problema y minimizar cualquier impacto potencial.
Además, el proveedor helénico se ha mostrado firme en su convencimiento de no negociar con los cibermalos para el pago de un rescate.
Autores rusos
El autor de este ataque es el grupo de ransomware The Ragnar Locker. El pasado viernes añadieron a la compañía a su web de filtraciones, indicando que nadie había respondido a sus demandas.
"DESFA tiene serias vulnerabilidades en su perímetro de seguridad, que conduce a comprometer datos sensibles corporativos. Por supuesto, hemos notificado a DESFA con con respecto a tales vulnerabilidades. Desafortunadamente todavía no recibimos ninguna contestación por su parte", aseguran los cibermalos.
"Así que aquí está el archivo de datos que se descargaron de la red DESFA. Si no toman ninguna medida en un tiempo prudencial y no se comunican con nuestro equipo para solucionar los problemas de seguridad, todos los archivos del árbol de archivos se publicarán", amenaza la pandilla de ransomware.
Ragnar Locker es un grupo de origen ruso que suele operar bajo la modalidad de ransomware as a service (RaaS). Sus orígenes se remontan a diciembre de 2019, centrándose en objetivos Windows.
Su modus operandi es la doble extorsión. Antes de ejecutar su PayLoad (carga útil) en las maquinas afectadas, inyectan un modulo con el que obtienen todo tipo de datos para luego enviarlos a un servidor de uso exclusivo de recolección de archivos. Así pueden contar con un segundo vector de negociación. Si la victima se niega a pagar el rescate de los activos digitales en las maquinas afectadas, usan los datos recopilados para chantajearla.