CONPET (Rumunia) potwierdza kradzież danych po ataku Qilin – co wiemy i jak ograniczyć ryzyko

Wprowadzenie do problemu / definicja luki

Incydent w CONPET S.A. (operator krajowego systemu przesyłu ropy i produktów ropopochodnych w Rumunii) to klasyczny przykład ransomware z elementami podwójnego wymuszenia: atakujący nie tylko zakłócają dostępność systemów (np. szyfrując zasoby lub wyłączając usługi), ale również eksfiltrują dane, by zwiększyć presję szantażu i ryzyko wtórnych nadużyć (phishing, oszustwa, kradzież tożsamości).

W tym przypadku CONPET podkreśla, iż systemy OT/SCADA nie zostały naruszone, a transport ropy funkcjonował normalnie – uderzenie dotknęło głównie infrastrukturę IT biznesową i serwis WWW.

W skrócie

• 03.02.2026: CONPET wykrył atak na IT biznesowe; serwis spółki stał się niedostępny; zgłoszono sprawę do DIICOT i rozpoczęto współpracę z krajowymi organami cyberbezpieczeństwa.
• 05.02.2026: grupa ransomware Qilin publicznie przypisała sobie atak (wpis na leak site) i zadeklarowała kradzież danych.
• 12.02.2026: CONPET potwierdził, iż doszło do eksfiltracji danych, choć zakres kradzieży przez cały czas jest ustalany; napastnicy twierdzą, iż wykradziono ok. ~1 TB dokumentów i opublikowali próbki (m.in. skany paszportów i dane finansowe).

Kontekst / historia / powiązania

Atak ma znaczenie nie tylko reputacyjne, ale i strategiczne: CONPET jest spółką kontrolowaną przez rumuńskie Ministerstwo Energii i obsługuje ok. 3 800 km rurociągów.

Z perspektywy trendów, Qilin to jedna z głośniejszych operacji ransomware (model RaaS), a incydent CONPET został odnotowany również w raportach threat-intel jako przykład uderzeń w sektor krytyczny (choć z utrzymaną ciągłością OT).

Analiza techniczna / szczegóły luki

Co potwierdzono oficjalnie

• Naruszenie dotyczyło korporacyjnej infrastruktury IT (business IT).
• OT (SCADA + telekomunikacja) nie ucierpiały, a transport ropy i gazoliny działał bez przerw.
• CONPET współpracuje z rumuńskimi instytucjami cyber i organami ścigania; złożono zawiadomienie.

Co twierdzą sprawcy (Qilin) – element weryfikowany

• Deklarowana kradzież ~1 TB danych oraz publikacja próbek (m.in. informacje finansowe i skany dokumentów).
• W próbkach mają pojawiać się dane wrażliwe/PII, m.in. adresy, identyfikatory osobiste i numery rachunków.

Dlaczego „IT vs OT” jest tu kluczowe

Utrzymanie ciągłości OT nie oznacza braku ryzyka: w wielu organizacjach infrastruktura IT jest bramą do:

• kradzieży danych (HR/finanse/kontrakty),
• sabotażu procesów biznesowych,
• ataków łańcuchowych (phishing, BEC),
• przygotowania przyszłego pivotu w kierunku środowisk przemysłowych (jeśli segmentacja jest słaba).

W tym incydencie CONPET komunikuje, iż segment OT pozostał nienaruszony – to dobra wiadomość operacyjnie, ale nie zamyka tematu ryzyk dla ludzi i danych.

Praktyczne konsekwencje / ryzyko

Najbardziej prawdopodobne skutki wtórne, jeżeli wyciek obejmuje PII i dokumenty:

• spear-phishing i oszustwa „na pilne polecenie” (podszycia pod pracowników/partnerów),
• BEC/CEO fraud (fałszywe dyspozycje przelewów, zmiany numerów kont na fakturach),
• kradzież tożsamości (szczególnie jeżeli w próbkach faktycznie są skany dokumentów),
• ryzyko regulacyjne i reputacyjne (obowiązki notyfikacyjne, roszczenia).

CONPET wprost ostrzega, iż skradzione dane mogą posłużyć do oszustw i zaleca wzmożoną ostrożność wobec „pilnych” kontaktów telefonicznych/mailowych.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań „tu i teraz”, sensowny dla organizacji po incydencie ransomware z podejrzeniem eksfiltracji:

Dla CONPET/organizacji o podobnym profilu (blue team / IR)

1. Potwierdzenie zakresu eksfiltracji: korelacja logów EDR/NDR, proxy, firewall, SSO/VPN; analiza nietypowych transferów i archiwizacji danych.
2. Reset i rotacja poświadczeń (priorytet: VPN, konta uprzywilejowane, serwisy plikowe, konta serwisowe) + wymuszenie MFA tam, gdzie to możliwe.
3. Twarde rozdzielenie IT/OT: przegląd reguł routingu, ACL, jump hostów, dostępu zdalnego i kont uprzywilejowanych (nawet jeżeli OT „nie ruszone”).
4. Hunting pod TTP ransomware/RaaS: persistence, narzędzia zdalnego zarządzania, nietypowe harmonogramy zadań, tunelowanie, kompresja/archiwizacja danych.
5. Backupy i odtwarzanie: weryfikacja kopii offline/immutable, test odtworzeń (nie tylko „zielone” statusy).
6. Monitoring wycieku: obserwacja leak site, paste site, monitorowanie kredensów i dokumentów w obiegu przestępczym (zespół CTI lub zewnętrzny dostawca).

Dla osób potencjalnie dotkniętych (pracownicy/kontrahenci)

• Nie reagować na presję czasu w mailach/telefonach; zawsze weryfikować innym kanałem (numer z oficjalnej strony, a nie z wiadomości).
• Włączyć alerty transakcyjne w banku, rozważyć zmianę haseł (unikalne) i MFA tam, gdzie się da.
• Zachować czujność na „aktualizacje danych”, „dopłaty”, „korekty faktur” – to typowy wektor po wyciekach.

Różnice / porównania z innymi przypadkami

Ten incydent dobrze pokazuje różnicę między:

• zakłóceniem usług publicznych/IT (np. niedostępny serwis WWW, problemy z systemami biurowymi),
  a
• realnym wpływem na ciągłość OT/SCADA.

CONPET twierdzi, iż OT działało normalnie (co ogranicza ryzyko fizycznego wpływu na przesył), ale potwierdzona eksfiltracja przenosi ciężar incydentu w stronę ryzyk danych i fraudów – czyli często najbardziej kosztownej fazy „po ransomware”.

Podsumowanie / najważniejsze wnioski

• Incydent CONPET to atak ransomware Qilin z potwierdzoną kradzieżą danych (zakres przez cały czas ustalany).
• Utrzymanie ciągłości OT/SCADA to istotny pozytyw, ale ryzyko nadużyć na danych (phishing, oszustwa finansowe) pozostaje wysokie.
• Najważniejsze działania po stronie obrony to: szybkie zawężenie wektorów wejścia, rotacja poświadczeń, hunting i monitoring wycieku oraz twarda segmentacja IT/OT.

Źródła / bibliografia

1. BleepingComputer (12.02.2026) – potwierdzenie eksfiltracji danych, deklaracje Qilin o ~1 TB i próbki dokumentów. (BleepingComputer)
2. BleepingComputer (05.02.2026) – pierwsza informacja o incydencie, OT/SCADA bez wpływu, zgłoszenie do DIICOT. (BleepingComputer)
3. AGERPRES (04.02.2026) – komunikat prasowy CONPET o ataku z 03.02.2026, brak wpływu na SCADA i telekomunikację, zawiadomienie DIICOT. (AGERPRES)
4. The Record / Recorded Future News (06.02.2026) – kontekst, potwierdzenie niedostępności WWW i brak wpływu na OT; wzmianka o roszczeniach Qilin. (The Record from Recorded Future)
5. Check Point Research (09.02.2026) – odnotowanie incydentu w tygodniowym raporcie threat-intel. (Check Point Research)