AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Un ciberataque con ransomware paraliza la infraestructura TI de Complexul Energetic Oltenia, el mayor productor de carbón de Rumanía**

admin

### 1. Introducción

El sector energético vuelve a estar en el punto de mira de los actores de amenazas tras un sofisticado ataque de ransomware que, el 26 de diciembre de 2023, afectó gravemente a la infraestructura tecnológica de Complexul Energetic Oltenia (CEO), el principal productor de energía basada en carbón de Rumanía. Este incidente ha generado preocupación entre los profesionales de la ciberseguridad, dada la criticidad de los servicios afectados y el impacto potencial sobre la cadena de suministro energética nacional.

### 2. Contexto del Incidente

Complexul Energetic Oltenia es responsable de aproximadamente el 30% de la producción eléctrica de Rumanía, suministrando energía a millones de consumidores y empresas. La organización gestiona amplias infraestructuras críticas, incluyendo minas de lignito y centrales térmicas. El ataque se produjo durante el periodo navideño, coincidiendo con una reducción de personal y una menor vigilancia operativa, una táctica habitual en campañas dirigidas contra infraestructuras esenciales.

Según fuentes locales y análisis posteriores, el ataque logró paralizar la mayoría de los sistemas informáticos corporativos, afectando tanto a la gestión administrativa como a los servicios de monitorización y control industrial (SCADA). Desde el momento del incidente, la compañía se ha visto obligada a operar en modo de contingencia, recurriendo a procedimientos manuales y limitados canales de comunicación.

### 3. Detalles Técnicos

Si bien la investigación forense sigue en curso, los primeros indicios apuntan a la explotación de una vulnerabilidad conocida en servidores Windows no parcheados, probablemente relacionada con el CVE-2023-21716 (vulnerabilidad de ejecución remota de código en Microsoft Exchange Server). Los atacantes habrían empleado un vector de acceso inicial basado en spear-phishing, utilizando archivos adjuntos maliciosos que desplegaron un loader para Cobalt Strike Beacon, facilitando el movimiento lateral y la escalada de privilegios.

El framework MITRE ATT&CK permite mapear el ataque en las siguientes técnicas:
– **Initial Access (T1566):** Phishing mediante correos dirigidos a personal administrativo.
– **Execution (T1059):** Uso de PowerShell y ejecución de scripts a través de Cobalt Strike.
– **Persistence (T1547):** Modificación de claves de registro para garantizar la persistencia.
– **Lateral Movement (T1021):** Uso de credenciales robadas y RDP para desplazamiento interno.
– **Impact (T1486):** Cifrado de archivos críticos a través de payloads personalizados.

Se han detectado indicadores de compromiso (IoC) asociados a variantes del ransomware Clop, con hashes de archivos coincidentes y conexiones a dominios de C2 previamente identificados en campañas similares contra infraestructuras críticas europeas. El exploit habría sido empaquetado en archivos ejecutables ofuscados, y se sospecha del uso de Metasploit para la explotación inicial, complementado con herramientas nativas de Windows y scripts personalizados.

### 4. Impacto y Riesgos

El ataque ha supuesto la caída total de los sistemas TI corporativos durante más de 72 horas, interrumpiendo la gestión de nóminas, la facturación y el acceso a documentos críticos. Si bien la producción energética no se ha detenido por completo gracias a sistemas OT segregados, sí se han producido retrasos en la distribución y una degradación de los servicios de soporte.

El incidente expone a Complexul Energetic Oltenia a riesgos de tipo operacional, económico y regulatorio. La empresa puede enfrentarse a sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, dado el posible compromiso de datos personales y la obligación de notificar incidentes de ciberseguridad relevantes en infraestructuras críticas.

### 5. Medidas de Mitigación y Recomendaciones

Entre las acciones inmediatas implementadas destacan:
– Desconexión de los sistemas afectados de la red corporativa.
– Restauración de backups offline verificados para sistemas críticos.
– Análisis forense de logs y endpoints para identificar persistencia y posibles puertas traseras.
– Refuerzo del perímetro de seguridad, segmentación de red y revisión de las políticas de acceso.
– Actualización urgente de sistemas y aplicaciones, priorizando servidores expuestos a Internet (Exchange, RDP, VPN).

Se recomienda a todas las organizaciones del sector energético:
– Ejecutar simulacros de respuesta a incidentes específicos de ransomware.
– Auditar los accesos privilegiados y monitorizar movimientos laterales sospechosos.
– Implantar soluciones EDR y monitorización continua con correlación avanzada de eventos.

### 6. Opinión de Expertos

Analistas SOC y responsables de ciberseguridad consultados destacan la sofisticación del ataque y la elección del momento como factores clave. “Estos incidentes demuestran la necesidad de un enfoque Zero Trust y de la automatización en la respuesta ante amenazas, especialmente en entornos industriales donde la disponibilidad es crítica”, señala un CISO de una eléctrica europea.

Otras voces alertan sobre la tendencia creciente de ataques contra infraestructuras críticas en Europa, motivados tanto por intereses económicos como por objetivos de desestabilización geopolítica.

### 7. Implicaciones para Empresas y Usuarios

El ataque a Complexul Energetic Oltenia subraya la vulnerabilidad de las infraestructuras críticas frente al ransomware. Para las empresas, implica la necesidad de revisar sus estrategias de continuidad de negocio y resiliencia operacional, así como de mejorar la formación y concienciación de los empleados. Para los usuarios finales, el incidente podría traducirse en interrupciones del suministro y aumento de costes, además de la exposición de datos personales.

### 8. Conclusiones

El incidente sufrido por Complexul Energetic Oltenia es un recordatorio contundente de la amenaza persistente que representa el ransomware para el sector energético europeo. La combinación de vulnerabilidades técnicas, factores humanos y la creciente sofisticación de los atacantes exige un refuerzo urgente de las medidas de protección, detección y respuesta, así como una cooperación más estrecha entre el sector público y privado para mitigar el impacto de futuros ataques.

(Fuente: www.bleepingcomputer.com)