Petrobras, il colosso brasiliano del petroelu, sta esaminando una richiesta del gruppo ransomware Everest, che sostiene di aver rubato un grande volume di dati tecnici dai sistemi di esplorazione dell’azienda. Il gruppo ha pubblicato campioni sul sito della fuga di notizie e ha dichiarato di aver ottenuto circa novanta gigabyte di materiale collegato a indagini sismiche in Brasile. I campioni includono nomi di file e metadati che fanno riferimento a nodi sismici, profondità idrofoni e informazioni di navigazione. Petrobras non ha confermato l’intrusione o l’autenticità dei fascicoli. L’azienda non ha inoltre dichiarato se i sistemi operativi siano stati colpiti.
I ricercatori di sicurezza che hanno esaminato i campioni pubblicati hanno affermato che i file sembrano provenire da sistemi geologici e geofisici piuttosto che da piattaforme di supporto aziendale. Questi sistemi memorizzano i risultati delle indagini sismiche utilizzati per guidare le decisioni di esplorazione e perforazione nelle regioni offshore. Il materiale citato nei campioni include parametri tecnici che possono indicare le posizioni del sondaggio e i metodi di acquisizione dei dati. Gli analisti affermano che le informazioni potrebbero avere un valore strategico perché i dati sismici sono considerati proprietari all’interno del settore petrolifero e del gas. Hanno inoltre osservato che non vi sono indicazioni che l’incidente abbia interrotto la produzione o le operazioni di perforazione attive.
Everest ha dichiarato che Petrobras ha sei giorni per iniziare le trattative. Il gruppo utilizza comunemente un approccio di doppia estorsione che combina il furto di dati con le minacce di pubblicare informazioni rubate. I ricercatori affermano che Everest ha preso di mira diverse organizzazioni infrastrutturali critiche quest’anno e si è concentrata su set di dati tecnici legati all’ingegneria, ai processi industriali e alla pianificazione dell’esplorazione. Il modello del gruppo incoraggia gli affiliati a far trapelare dati anche quando le vittime rifiutano di pagare. Questo aumenta la probabilità che informazioni rubate circolino su forum clandestini.
Petrobras non ha rivelato quali sistemi potrebbero essere stati accessibili o come un attaccante possa essere entrato nella sua rete. L’azienda ha dichiarato di stare valutando la richiesta e di non aver identificato alcuna interruzione negli ambienti tecnologici operativi che supportino l’attività offshore. Gli analisti affermano che, se i dati verranno confermati come autentici, l’incidente potrebbe sollevare dubbi sulla protezione dei sistemi dati sul campo. I file di esplorazione possono influenzare le decisioni di investimento, il posizionamento competitivo e la pianificazione a lungo termine nei bacini offshore. L’esposizione di quei fascicoli potrebbe ridurre la riservatezza dei progetti strategici.
L’affermazione evidenzia anche il più ampio spostamento dell’attenzione degli attaccanti verso informazioni tecniche di alto valore detenute da aziende industriali ed energetiche. Negli anni precedenti, gli attori ransomware spesso prendevano di mira reti aziendali che contenevano registri finanziari o dati dei clienti. Gli analisti ora osservano una maggiore attenzione ai file ingegneristici, ai diagrammi operativi e ai dati di esplorazione perché questi documenti hanno un’utilità a lungo termine e possono avere maggiore leva nei tentativi di estorsione. L’affermazione di Petrobras si allinea con questo schema e riflette minacce continue per le organizzazioni del settore energetico che gestiscono ambienti dati sul campo estesi.
Petrobras non ha fornito dettagli sui passaggi di contenimento o sulla presenza di interventi esterni di terze parti. Si prevede che l’azienda esamini i log di accesso, i backup e le connessioni con i fornitori per determinare se siano stati introdotti meccanismi di persistenza. Le organizzazioni del settore petrolifero e del gas stanno monitorando la situazione e rivedendo i propri controlli per i sistemi che memorizzano dati di esplorazione, risultati sismici e file tecnici di progetto. Gli specialisti della sicurezza notano che questi sistemi possono operare al di fuori delle tradizionali reti aziendali e quindi richiedono un’attenzione mirata.