Petrobras, der brasilianische Petroelum-Riese, untersucht eine Behauptung der Everest-Ransomware-Gruppe, die behauptet, eine große Menge technischer Daten aus den Explorationssystemen des Unternehmens gestohlen zu haben. Die Gruppe veröffentlichte Proben auf ihrer Leckstätte und gab an, etwa neunzig Gigabyte Material im Zusammenhang mit seismischen Untersuchungen in Brasilien erhalten zu haben. Die Proben enthalten Dateinamen und Metadaten, die seismische Knoten, Hydrophontiefen und Navigationsinformationen beziehen. Petrobras hat weder das Eindringen noch die Echtheit der Akten bestätigt. Das Unternehmen hat auch nicht gesagt, ob die Betriebssysteme betroffen waren.
Sicherheitsforscher, die die veröffentlichten Proben überprüften, erklärten, dass die Dateien offenbar von geologischen und geophysikalischen Systemen stammen und nicht von Unternehmensunterstützungsplattformen. Diese Systeme speichern seismische Vermessungsergebnisse, die zur Steuerung von Explorations- und Bohrentscheidungen in Offshore-Regionen dienen. Das in den Proben referenzierte Material enthält technische Parameter, die Vermessungsstandorte und Datenerfassungsmethoden anzeigen können. Analysten sagen, dass die Informationen strategischen Wert haben könnten, da seismische Daten im Öl- und Gassektor als proprietär gelten. Sie stellten außerdem fest, dass es keine Hinweise darauf gibt, dass der Vorfall die Produktion oder die aktiven Bohrarbeiten gestört habe.
Everest erklärte, dass Petrobras sechs Tage Zeit habe, um mit den Verhandlungen zu beginnen. Die Gruppe verwendet häufig eine doppelte Erpressungsstrategie, die Datendiebstahl mit Drohungen zur Veröffentlichung gestohlener Informationen kombiniert. Forscher sagen, dass Everest in diesem Jahr mehrere kritische Infrastrukturorganisationen ins Visier genommen hat und sich auf technische Datensätze konzentriert hat, die mit Ingenieurwesen, industriellen Prozessen und Explorationsplanung verknüpft sind. Das Modell der Gruppe ermutigt die Affiliates, Daten zu leaken, selbst wenn die Opfer nicht zahlen wollen. Dies erhöht die Wahrscheinlichkeit, dass gestohlene Informationen in Untergrundforen kursieren.
Petrobras hat nicht offengelegt, welche Systeme möglicherweise betreten wurden oder wie ein Angreifer in sein Netzwerk eindringen konnte. Das Unternehmen erklärte, es prüfe die Behauptung und habe keine Störung der operativen Technologieumgebungen festgestellt, die Offshore-Aktivitäten unterstützen. Analysten sagen, dass der Vorfall, falls die Daten als echt bestätigt werden, Fragen zum Schutz von Felddatensystemen aufwerfen könnte. Explorationsakten können Investitionsentscheidungen, Wettbewerbspositionierung und langfristige Planung in Offshore-Becken beeinflussen. Die Offenlegung dieser Dateien könnte die Vertraulichkeit bei strategischen Projekten verringern.
Die Behauptung unterstreicht auch die breitere Verlagerung des Fokus der Angreifer auf hochwertige technische Informationen, die von Industrie- und Energieunternehmen gehalten werden. In den Vorjahren zielten Ransomware-Akteure oft auf Unternehmensnetzwerke ab, die Finanzunterlagen oder Kundendaten enthielten. Analysten beobachten inzwischen eine verstärkte Aufmerksamkeit für technische Akten, Betriebsdiagramme und Explorationsdaten, da diese Akten langfristig nützlich sind und bei Erpressungsversuchen einen größeren Einfluss haben können. Die Petrobras-Behauptung entspricht diesem Muster und spiegelt anhaltende Bedrohungen für Energiesektororganisationen wider, die umfangreiche Felddatenumgebungen verwalten.
Petrobras hat keine Details zu Eindämmungsmaßnahmen oder darüber, ob externe Einsatzhelfer beteiligt sind, bekannt gegeben. Es wird erwartet, dass das Unternehmen Zugriffsprotokolle, Backups und Anbieterverbindungen überprüft, um festzustellen, ob Persistenzmechanismen eingeführt wurden. Organisationen im Öl- und Gassektor überwachen die Situation und überprüfen ihre eigenen Kontrollen für Systeme, die Explorationsdaten, seismische Ergebnisse und technische Projektdateien speichern. Sicherheitsspezialisten weisen darauf hin, dass diese Systeme möglicherweise außerhalb traditioneller Unternehmensnetzwerke betrieben werden und daher gezielte Aufmerksamkeit erfordern.