Atak ransomware na rumuńskiego operatora ropociągów CONPET: Qilin chwali się wyciekiem ~1 TB danych

Wprowadzenie do problemu / definicja luki

CONPET S.A., rumuński operator krajowego systemu transportu ropy i produktów naftowych, potwierdził incydent cybernetyczny, który uderzył w biznesową infrastrukturę IT spółki. Firma podkreśliła jednocześnie, iż systemy OT – w tym SCADA oraz telekomunikacja – nie zostały naruszone, a transport ropy i benzyny działa „w normalnych parametrach”.

Choć CONPET nie wskazał publicznie sprawców ani nie potwierdził wprost wycieku danych, grupa ransomware Qilin umieściła spółkę na swoim „leak site”, deklarując kradzież niemal 1 TB danych i publikując próbki dokumentów (m.in. materiały finansowe oraz skany paszportów).

W skrócie

• Incydent miał miejsce 03.02.2026 i dotyczył IT biznesowego; serwis www spółki był czasowo niedostępny.
• CONPET deklaruje brak wpływu na OT/SCADA, a więc na ciągłość przesyłu.
• Spółka współpracuje z krajowymi władzami ds. cyberbezpieczeństwa oraz złożyła zawiadomienie do DIICOT (rumuńska prokuratura ds. przestępczości zorganizowanej i terroryzmu).
• Qilin twierdzi, iż przeprowadził ekfiltrację i grozi ujawnieniem danych w modelu „double extortion”.

Kontekst / historia / powiązania

Z perspektywy obrony sektorowej warto zauważyć, iż incydent CONPET wpisuje się w serię ataków ransomware na organizacje w Rumunii obserwowaną w ostatnich miesiącach. W materiałach branżowych wskazywano m.in. wcześniejsze incydenty dotykające instytucje publiczne i podmioty energetyczne, co sugeruje presję na infrastrukturę krytyczną i „okołokrytyczną”.

W tym przypadku najważniejszy jest też komunikat spółki o rozdzieleniu stref: atak dotknął IT biznesowego, ale nie przełożył się na OT. To często oznacza, iż segmentacja (organizacyjna i techniczna) zadziałała przynajmniej na tyle, by nie dopuścić do eskalacji na środowiska sterowania procesem.

Analiza techniczna / szczegóły incydentu

Co potwierdził operator

Z oficjalnego komunikatu wynika:

• naruszenie/zakłócenie dotyczyło infrastruktury IT do celów biznesowych,
• SCADA i system telekomunikacyjny nie zostały dotknięte,
• uruchomiono działania ograniczające skutki, współpracę z władzami oraz ścieżkę prawną (DIICOT).

Co deklarują atakujący (Qilin)

Qilin opublikował wpis o CONPET w swoich kanałach wyciekowych i – według relacji mediów – zaprezentował próbki danych jako „dowód życia” (w tym skany dokumentów). Wątek ~1 TB jest powtarzany w kilku niezależnych omówieniach.

Qilin: profil zagrożenia (RaaS)

Według opisów branżowych Qilin to ransomware-as-a-service działający co najmniej od 2022 r. (w części publikacji wskazywany jako wcześniej funkcjonujący pod inną marką), z historią ataków na organizacje z wielu sektorów.

W praktyce, przy incydentach RaaS, najczęstszy „szkielet” operacji wygląda następująco (to model ogólny – nie dowód dla CONPET):

1. wejście (np. skradzione poświadczenia / phishing / podatne usługi brzegowe),
2. rozpoznanie i ruch boczny,
3. ekfiltracja danych pod szantaż,
4. szyfrowanie części środowiska IT i presja negocjacyjna poprzez leak site.

W tym przypadku publicznie potwierdzony jest impact na IT oraz narracja o kradzieży danych.

Praktyczne konsekwencje / ryzyko

1. Ryzyko wycieku danych wrażliwych
   Skany paszportów i dokumenty finansowe (jeśli autentyczne) oznaczają konsekwencje: nadużycia tożsamości, spear-phishing, szantaż, a także obowiązki regulacyjne (np. w obszarze ochrony danych).
2. Ryzyko operacyjne dla infrastruktury krytycznej
   CONPET twierdzi, iż OT/SCADA są nietknięte, co ogranicza prawdopodobieństwo bezpośredniego wpływu na przesył. Jednak doświadczenie rynkowe pokazuje, iż choćby atak „tylko na IT” może pośrednio uderzać w OT (np. poprzez utratę systemów wsparcia, łączności biurowej, tożsamości, CMMS, poczty). Dlatego komunikat „OT bez zmian” jest dobrym sygnałem, ale nie zamyka tematu.
3. Ryzyko wtórne: dostawcy i łańcuch zależności
   Jeżeli doszło do kradzieży danych, typowym skutkiem są kolejne kampanie: podszywanie się pod spółkę, ataki na kontrahentów, próby przejęcia korespondencji i płatności.

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki są sensowne dla organizacji o profilu CONPET (energia/CI), szczególnie gdy pojawia się wątek ekfiltracji:

Natychmiast (0–72h)

• Utrzymać separację IT/OT, zweryfikować reguły routingu, tożsamości uprzywilejowane i kanały zdalnego dostępu; potwierdzić, iż OT nie korzysta z tych samych IdP/kont.
• Zabezpieczyć materiał dowodowy (logi z EDR/SIEM, VPN, AD, proxy, serwery plików, poczta), zsynchronizować oś czasu.
• Wymusić reset poświadczeń uprzywilejowanych, wdrożyć/zaostrzyć MFA wszędzie, gdzie to możliwe (szczególnie dostęp zdalny, administracja, poczta).
• Przygotować komunikację kryzysową i scenariusz publikacji danych (leak site), bo presja czasu to część modelu „double extortion”.

W krótkim terminie (1–4 tyg.)

• Pełny przegląd segmentacji i „barier” między IT/OT (firewalle, jump hosty, PAM, zasada minimalnych uprawnień).
• Audyt kopii zapasowych pod kątem odporności na ransomware (offline/immutable, testy odtwarzania, RTO/RPO).
• Threat hunting pod kątem mechanizmów utrzymania dostępu (kontenerowe konta admina, scheduled tasks, nietypowe tunelowanie).
• Twarde reguły dla ruchu danych na zewnątrz (DLP/egress filtering) i monitoring dużych transferów.

W średnim terminie (1–3 mies.)

• Program redukcji powierzchni ataku: ekspozycja usług brzegowych, patching, redukcja „legacy”, uporządkowanie tożsamości, wzmocnienie SOC.
• Ćwiczenia IR dla scenariusza „IT down + presja na ujawnienie danych”, w tym kooperacja prawna i regulator.

Różnice / porównania z innymi przypadkami

• W odróżnieniu od incydentów, w których ransomware realnie „dotyka procesu” (OT), tutaj kluczowa narracja brzmi: IT biznesowe + możliwa kradzież danych, przy zachowaniu ciągłości przesyłu.
• Taki profil zdarzenia jest częsty w sektorze energii: atakujący wybierają najszybszą ścieżkę monetyzacji (dane + przestój biurowy), bo OT bywa lepiej odizolowane, a ingerencja w proces niesie dla nich większe ryzyko i koszty.

Podsumowanie / najważniejsze wnioski

Atak na CONPET pokazuje dwa trendy: rosnącą presję ransomware na organizacje o znaczeniu strategicznym oraz praktyczną wartość segmentacji IT/OT, która – według deklaracji spółki – uchroniła systemy SCADA przed skutkami incydentu.

Największe ryzyko „tu i teraz” to potencjalny wyciek danych (Qilin mówi o ~1 TB i publikuje próbki), a więc zagrożenia wtórne: szantaż, nadużycia tożsamości, phishing oraz konsekwencje prawno-regulacyjne.

Źródła / bibliografia

1. Komunikat CONPET o incydencie (dystrybucja prasowa) (AGERPRES)
2. The Record (Recorded Future News): potwierdzenie incydentu i kontekst Qilin (The Record from Recorded Future)
3. BleepingComputer: szczegóły dot. deklaracji Qilin (~1 TB) i status OT/SCADA (BleepingComputer)
4. Industrial Cyber: dodatkowe cytaty z komunikacji spółki i kontekst infrastruktury (Industrial Cyber)
5. Ransomware.live: wpis indeksujący ofiarę „Conpet S.A. (COTE.RO)” przypisywany Qilin (ransomware.live)