クロアチア最大のガソリンスタンドチェーンINAがランサムウェアに襲われる

クロアチア最大の石油会社であるINAグループと最大のガソリンスタンドチェーンの一部の業務が、サイバー攻撃によって中断されました。

ランサムウェア攻撃により、クロアチア最大の石油会社であるINAグループと最大のガソリンスタンドチェーンの業務が中断されました。

INA,d.dは、ハンガリーMOLグループおよびクロアチア政府を筆頭株主とする株式会社であり、少数の株式は個人および機関投資家が所有しています。

同社は、2月14日22:00に起きた攻撃の結果、請求書の発行やポイントカードの受け取りができなくなりました。

同社がウェブサイトに掲載したセキュリティ侵害通知には、以下のように書かれています。
「INAグループは2020年2月14日午後10時頃からサイバー攻撃を受けており、一部のITシステムの運用に問題が発生しております。
携帯電話のバウチャーや電子伝票の発行、公共料金の支払いなど、通常の運用に影響を与える場合があります。」
「市場供給は安定している。燃料販売は引き続き順調に推移しています。
現金、INAカード、銀行カードを問わず、すべての支払いは安全です。
INAはシステムの問題を解決するための対策を講じています。」

セキュリティ侵害後も、同社は顧客にガソリン燃料を提供し、支払いを処理することができました。

この問題を最初に報告した米ZDNetは、
「複数の情報筋が米ZDNetに語ったところによると、このサイバー攻撃はランサムウェアに感染し、
同社のバックエンドサーバの一部を感染させて暗号化したものだという。」と述べている。

「しかし、請求書の発行、ポイントカードの利用登録、新しいモバイルクーポンの発行、
新しい電子クーポンの発行、ガス料金の支払い(INAはクロアチアの天然ガス供給会社でもあります。)などの機能には影響を与えた。」

同社はすべてのシステムの復旧に取り組んでいると発表した。

米ZDNetは、この事件に詳しい情報筋の話として、この攻撃にCLOPランサムウェアが関与していると推測している。

この一連のランサムウェアは、2019年12月にVitali Kremez氏によっても発見されたもので、
Windowsシステムを標的とし、感染したシステムで動作するセキュリティ製品を無効化しようとする。
この悪質なコードは、暗号化プロセスを開始する直前に小さなプログラムを実行し、感染したシステムで動作を検知できるセキュリティツールを無効にする。
また、この防御機能に関連するレジストリ値を設定することで、Windows Defenderを無効にしようとするのが特徴。

元記事
https://securityaffairs.co/wordpress/98203/malware/ina-group-ransomware-attack.html

---
ランサムウェアが社会インフラにも影響を与える時代。
バックエンドサーバの感染ということは、従業員PCからの感染が最初なのかも。