Atak ransomware „Gentlemen” na Complexul Energetic Oltenia: co wiemy i jak ograniczać ryzyko w energetyce

Wprowadzenie do problemu / definicja luki

Pod koniec grudnia 2025 r. rumuński producent energii oparty o węgiel brunatny (Complexul Energetic Oltenia / Oltenia Energy Complex) potwierdził incydent ransomware, w którym zaszyfrowano część plików i czasowo wyłączono najważniejsze systemy IT wykorzystywane w obszarze „business IT” (m.in. ERP, poczta, DMS i strona WWW).

W praktyce jest to klasyczny scenariusz „zakłócenia ciągłości działania” w organizacji infrastruktury krytycznej: atak nie musi uderzać bezpośrednio w systemy sterowania przemysłowego (OT/ICS), żeby realnie sparaliżować procesy operacyjne, logistykę, kadry czy rozliczenia — czyli wszystko, co pozwala firmie działać w sposób kontrolowany i zgodny z procedurami.

W skrócie

• Kiedy: atak wykryto 26 grudnia 2025 ok. 01:40 (czas lokalny).
• Co ucierpiało: zaszyfrowane dokumenty i niedostępne usługi, w tym ERP, systemy zarządzania dokumentami, e-mail i strona WWW.
• Wpływ: aktywność spółki „częściowo” zakłócona; firma podkreślała, iż działanie krajowego systemu energetycznego nie zostało zagrożone.
• Reakcja: izolacja dotkniętych zasobów, odbudowa na nowej infrastrukturze z użyciem kopii zapasowych; zgłoszenia do adekwatnych instytucji i zawiadomienie DIICOT.
• Niepewne: trwa analiza skali incydentu i tego, czy doszło do eksfiltracji danych przed szyfrowaniem.

Kontekst / historia / powiązania

Incydent wpisuje się w szerszy trend presji na infrastrukturę krytyczną w regionie. W doniesieniach zwracano uwagę, iż atak nastąpił w okresie świątecznym (typowy „timing” dla ransomware, gdy obsady dyżurne są mniejsze), a także iż był to kolejny głośny przypadek ransomware w Rumunii w krótkim odstępie czasu.

Co ważne: fakt, iż grupa „Gentlemen” nie opublikowała jeszcze ofiary na swoim serwisie wyciekowym (w momencie opisywania sprawy przez media), bywa interpretowany jako możliwe trwające negocjacje lub brak gotowości do publikacji. To jednak nie jest dowód braku kradzieży danych — jedynie sygnał niepewności.

Analiza techniczna / szczegóły luki

Co wiemy o „Gentlemen”

Z publicznych analiz wynika, iż „The Gentlemen” pojawili się w 2025 r. jako aktywny operator ransomware i potrafią działać metodycznie: rekonesans, nadużycia narzędzi administracyjnych („living off the land”), a w niektórych kampaniach także manipulacje środowiskiem domenowym (AD/GPO) oraz techniki omijania zabezpieczeń.

Trend Micro opisuje m.in. podejrzenie wejścia przez usługi wystawione do internetu lub skompromitowane poświadczenia, intensywny recon i mapowanie sieci, a następnie działania przygotowujące szerokie wdrożenie ransomware.

Artefakty kampanii (przydatne w IR/threat hunting)

W relacjach dotyczących ataku na Oltenię wskazywano charakterystyczne elementy: notatkę okupu README-GENTLEMEN.txt i rozszerzenie .7mtzhh dla zaszyfrowanych plików.

„Business IT” vs OT/ICS

W komunikatach i artykułach przewija się sformułowanie, iż atak dotyczył infrastruktury IT „biznesowej” (ERP/DMS/poczta/WWW).
Dla energetyki to najważniejszy wniosek: choćby jeżeli sieci OT są segmentowane, ransomware w IT może:

• zablokować procesy planowania i utrzymania ruchu (work orders, części, harmonogramy),
• utrudnić raportowanie, komunikację i eskalacje,
• stworzyć ryzyko „przeskoku” do OT, jeżeli segmentacja i tożsamość są słabe (np. współdzielone konta, tunelowane połączenia, „dual-homed” stacje).

Praktyczne konsekwencje / ryzyko

Najbardziej „kosztowny” efekt ransomware w tego typu organizacjach to zwykle nie samo szyfrowanie, tylko czas przestoju i koszt odtwarzania (infrastruktura, licencje, praca zespołów, forensics, komunikacja kryzysowa).

Dodatkowo, skoro firma oficjalnie wskazała, iż analizuje możliwość eksfiltracji danych, trzeba brać pod uwagę drugi tor ryzyka: szantaż publikacją, naruszenie tajemnicy przedsiębiorstwa, dane pracownicze/kontraktowe, a także konsekwencje prawne i regulacyjne.

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań „praktycznych” (w kolejności, w jakiej często dają najlepszy zwrot w środowiskach enterprise/CI):

1. Szybkie odcięcie i walidacja segmentacji
   • potwierdź separację IT/OT (firewalle, ACL, jump hosty, brak routingu „na skróty”),
   • sprawdź konta i poświadczenia używane na styku ITOT (rotacja + MFA tam, gdzie możliwe).
2. Odtwarzanie z kopii zapasowych, ale z myślą o reinfekcji
   • „clean restore”: zanim przywrócisz, zweryfikuj, iż nie odtwarzasz też backdoorów (gold images, nowe tajemnice, nowe klucze),
   • testuj backupy w izolacji; upewnij się, iż masz kopie offline/immutable.
3. Threat hunting pod TTP „Gentlemen”
   • poluj na nietypowe użycia narzędzi admin (PsExec, zdalne usługi, masowe enumeracje AD),
   • szukaj artefaktów kampanii (np. wzorce notatki okupu, nietypowe rozszerzenia), zgodnie z opisami TTP i łańcucha ataku.
4. Zamknięcie wektorów wejścia
   • redukcja ekspozycji usług do internetu (VPN/RDP/portale admin),
   • wymuszenie MFA, ograniczenia geograficzne, warunkowy dostęp, hardening kont uprzywilejowanych (PAM).
5. Komunikacja kryzysowa i zobowiązania prawne
   • plan komunikacji do regulatorów/partnerów (w zależności od jurysdykcji i rodzaju danych),
   • przygotowanie scenariusza „data leak” choćby jeżeli jeszcze nie ma potwierdzenia.

Różnice / porównania z innymi przypadkami

W tym incydencie mocno wybrzmiewa model „business disruption” (ERP/poczta/DMS) przy jednoczesnym komunikacie o braku zagrożenia dla pracy systemu energetycznego.
To różni się od części ataków na przemysł, gdzie celem jest bezpośrednie zatrzymanie procesów OT/ICS. Z perspektywy obrony wniosek jest podobny: najlepszy efekt daje utrzymanie realnej segmentacji oraz odporności tożsamości (identity resilience), bo ransomware coraz częściej wykorzystuje domenę/poświadczenia, by rozlać się „hurtowo”.

Podsumowanie / najważniejsze wnioski

• Atak na Complexul Energetic Oltenia (26 grudnia 2025) pokazuje, iż szyfrowanie „tylko IT” potrafi realnie uderzyć w ciągłość działania infrastruktury krytycznej.
• Kluczowe ryzyka to przestój/odbudowa oraz potencjalna kradzież danych (podwójny szantaż) — ta druga kwestia była wprost analizowana przez spółkę.
• „Gentlemen” to operator, którego TTP (według publicznych analiz) sugerują metodyczne kampanie: recon, nadużycia narzędzi admin i działania domenowe — co wzmacnia potrzebę ochrony AD, PAM i monitoringu lateral movement.

Źródła / bibliografia

1. HotNews.ro – komunikat o ataku i działaniach spółki (DIICOT, DNSC, zakres usług) (HotNews.ro)
2. BleepingComputer – opis incydentu, charakterystyka „Gentlemen” (m.in. README-GENTLEMEN.txt, .7mtzhh), kontekst branżowy (BleepingComputer)
3. Digital Watch Observatory (dig.watch) – podsumowanie: odtwarzanie, status leak site, powiązania kontekstowe (Digital Watch Observatory)
4. Trend Micro Research – „Unmasking The Gentlemen Ransomware”: TTP, łańcuch ataku, mechanika, rekomendacje obrony (www.trendmicro.com)