Petrobras, el gigante brasileño del petroelo, está examinando una afirmación del grupo de ransomware Everest, que alega haber robado un gran volumen de datos técnicos de los sistemas de exploración de la compañía. El grupo publicó muestras en su sitio de filtración y declaró haber obtenido unos noventa gigabytes de material relacionado con estudios sísmicos en Brasil. Las muestras incluyen nombres de archivos y metadatos que hacen referencia a nodos sísmicos, profundidades de hidrófono e información de navegación. Petrobras no ha confirmado la intrusión ni la autenticidad de los archivos. La compañía tampoco ha dicho si los sistemas operativos se vieron afectados.
Investigadores de seguridad que revisaron las muestras publicadas dijeron que los archivos parecen originarse en sistemas de geología y geofísica más que en plataformas de soporte empresarial. Estos sistemas almacenan resultados de encuestas sísmicas que se utilizan para guiar las decisiones de exploración y perforación en regiones marinas. El material referenciado en las muestras incluye parámetros técnicos que pueden indicar ubicaciones de encuestas y métodos de adquisición de datos. Los analistas afirman que la información podría tener un valor estratégico porque los datos sísmicos se consideran propietarios dentro del sector del petróleo y gas. También señalaron que no hay indicios de que el incidente interrumpiera la producción o las operaciones de perforación activas.
Everest afirmó que Petrobras tiene seis días para iniciar las negociaciones. El grupo utiliza habitualmente un enfoque de doble extorsión que combina el robo de datos con amenazas de publicar información robada. Los investigadores afirman que Everest ha atacado a varias organizaciones de infraestructuras críticas este año y se ha centrado en conjuntos de datos técnicos relacionados con la ingeniería, procesos industriales y planificación de exploración. El modelo del grupo anima a los afiliados a filtrar datos incluso cuando las víctimas se niegan a pagar. Esto aumenta la probabilidad de que la información robada circule en foros clandestinos.
Petrobras no ha revelado qué sistemas podrían haber sido accedidos ni cómo un atacante pudo haber entrado en su red. La empresa afirmó que está evaluando la reclamación y no ha identificado ninguna interrupción en los entornos tecnológicos operativos que apoyen la actividad offshore. Los analistas afirman que, si se confirma que los datos son auténticos, el incidente podría plantear dudas sobre la protección de los sistemas de datos de campo. Los archivos de exploración pueden influir en las decisiones de inversión, el posicionamiento competitivo y la planificación a largo plazo en cuencas offshore. La exposición de esos archivos podría reducir la confidencialidad en torno a proyectos estratégicos.
La afirmación también pone de manifiesto el cambio más amplio en el enfoque de los atacantes hacia la información técnica de alto valor en manos de las empresas industriales y energéticas. En años anteriores, los actores de ransomware solían atacar redes corporativas que contenían registros financieros o datos de clientes. Los analistas observan ahora una mayor atención a los archivos de ingeniería, diagramas operativos y datos de exploración porque estos registros tienen utilidad a largo plazo y pueden tener mayor influencia en intentos de extorsión. La afirmación de Petrobras se alinea con este patrón y refleja amenazas continuas a las organizaciones del sector energético que gestionan entornos de datos de campo extensos.
Petrobras no ha proporcionado detalles sobre los pasos de contención ni sobre si están implicados intervenientes externos en incidentes. Se espera que la empresa revise los registros de acceso, copias de seguridad y conexiones con proveedores para determinar si se han introducido mecanismos de persistencia. Las organizaciones del sector del petróleo y gas están monitorizando la situación y revisando sus propios controles para los sistemas que almacenan datos de exploración, resultados sísmicos y archivos técnicos de proyectos. Los especialistas en seguridad señalan que estos sistemas pueden operar fuera de las redes corporativas tradicionales y, por tanto, requieren atención enfocada.