Petrobras, le géant brésilien du pétrole, examine une affirmation du groupe de ransomware Everest, qui affirme avoir volé un important volume de données techniques des systèmes d’exploration de l’entreprise. Le groupe a publié des échantillons sur son site de fuite et a déclaré avoir obtenu environ quatre-vingt-dix gigaoctets de matériel lié à des levés sismiques au Brésil. Les exemples comprennent des noms de fichiers et des métadonnées faisant référence aux nœuds sismiques, aux profondeurs hydrophones et aux informations de navigation. Petrobras n’a pas confirmé l’intrusion ni l’authenticité des fichiers. L’entreprise n’a pas non plus précisé si les systèmes opérationnels étaient affectés.
Les chercheurs en sécurité ayant examiné les échantillons publiés ont déclaré que les fichiers semblent provenir de systèmes de géologie et de géophysique plutôt que de plateformes de support professionnel. Ces systèmes stockent les résultats des relevés sismiques utilisés pour guider les décisions d’exploration et de forage dans les régions offshore. Le matériel référencé dans les échantillons comprend des paramètres techniques pouvant indiquer les emplacements des enquêtes et les méthodes d’acquisition des données. Les analystes estiment que ces informations pourraient avoir une valeur stratégique car les données sismiques sont considérées comme propriétaires dans le secteur pétrolier et gazier. Ils ont également noté qu’il n’y a aucune indication que l’incident ait perturbé la production ou les opérations de forage actives.
Everest a déclaré que Petrobras disposait de six jours pour entamer les négociations. Le groupe utilise couramment une approche de double extorsion qui combine vol de données et menaces de publication d’informations volées. Les chercheurs affirment qu’Everest a ciblé plusieurs organisations d’infrastructures critiques cette année et s’est concentré sur des ensembles de données techniques liés à l’ingénierie, aux processus industriels et à la planification de l’exploration. Le modèle du groupe encourage les affiliés à divulguer des données même lorsque les victimes refusent de payer. Cela augmente la probabilité que des informations volées circulent sur des forums clandestins.
Petrobras n’a pas divulgué quels systèmes auraient pu être consultés ni comment un attaquant aurait pu pénétrer dans son réseau. La société a indiqué qu’elle évaluait la réclamation et n’avait identifié aucune perturbation des environnements technologiques opérationnels soutenant l’activité offshore. Les analystes estiment que si les données sont confirmées comme authentiques, l’incident pourrait soulever des questions sur la protection des systèmes de données sur le terrain. Les fichiers d’exploration peuvent influencer les décisions d’investissement, le positionnement concurrentiel et la planification à long terme dans les bassins offshore. La visibilité de ces dossiers pourrait réduire la confidentialité autour des projets stratégiques.
Cette affirmation met également en lumière le déplacement plus large de l’attention des attaquants vers les informations techniques de grande valeur détenues par les entreprises industrielles et énergétiques. Au cours des années précédentes, les acteurs de ransomware ciblaient souvent des réseaux d’entreprise contenant des dossiers financiers ou des données clients. Les analystes observent désormais une attention accrue portée aux fichiers techniques, aux diagrammes opérationnels et aux données d’exploration car ces enregistrements ont une utilité à long terme et peuvent avoir un effet de levier plus important lors des tentatives d’extorsion. L’affirmation de Petrobras s’inscrit dans ce schéma et reflète les menaces persistantes pour les organisations du secteur de l’énergie qui gèrent de vastes environnements de données sur le terrain.
Petrobras n’a pas fourni de détails sur les étapes de confinement ni sur l’implication d’intervenants tiers en cas d’incident. L’entreprise devrait examiner les journaux d’accès, les sauvegardes et les connexions avec les fournisseurs afin de déterminer si des mécanismes de persistance ont été introduits. Les organisations du secteur pétrolier et gazier surveillent la situation et revoient leurs propres contrôles pour les systèmes stockant les données d’exploration, les résultats sismiques et les dossiers techniques des projets. Les spécialistes de la sécurité notent que ces systèmes peuvent fonctionner en dehors des réseaux d’entreprise traditionnels et nécessitent donc une attention ciblée.