Petrobras, de Braziliaanse petroelumgigant, onderzoekt een claim van de Everest-ransomwaregroep, die beweert een grote hoeveelheid technische gegevens uit de exploratiesystemen van het bedrijf te hebben gestolen. De groep plaatste monsters op haar leksite en verklaarde dat zij ongeveer negentig gigabyte materiaal had verkregen dat verband hield met seismische onderzoeken in Brazilië. De monsters bevatten bestandsnamen en metadata die verwijzen naar seismische knooppunten, hydrofoondieptes en navigatie-informatie. Petrobras heeft de inbraak of de authenticiteit van de dossiers niet bevestigd. Het bedrijf heeft ook niet gezegd of operationele systemen zijn getroffen.
Beveiligingsonderzoekers die de geplaatste monsters hebben bekeken, zeiden dat de bestanden lijken te komen uit geologische en geofysische systemen en niet van zakelijke ondersteuningsplatforms. Deze systemen slaan seismische onderzoeksresultaten op die worden gebruikt om exploratie- en boorbeslissingen in offshore gebieden te begeleiden. Het materiaal dat in de steekproeven wordt genoemd, bevat technische parameters die meetlocaties en gegevensverzamelingsmethoden kunnen aangeven. Analisten zeggen dat de informatie strategische waarde kan hebben omdat seismische gegevens binnen de olie- en gassector als eigendomsrecht worden beschouwd. Ze merkten ook op dat er geen aanwijzingen zijn dat het incident de productie of actieve booractiviteiten heeft verstoord.
Everest verklaarde dat Petrobras zes dagen heeft om te beginnen met onderhandelingen. De groep gebruikt vaak een dubbele afpersingsmethode die datadiefstal combineert met dreigementen om gestolen informatie te publiceren. Onderzoekers zeggen dat Everest dit jaar verschillende kritieke infrastructuurorganisaties heeft getarget en zich heeft gericht op technische datasets die verband houden met engineering, industriële processen en exploratieplanning. Het model van de groep moedigt affiliates aan om data te lekken, zelfs wanneer slachtoffers weigeren te betalen. Dit vergroot de kans dat gestolen informatie op ondergrondse forums circuleert.
Petrobras heeft niet bekendgemaakt welke systemen mogelijk zijn benaderd of hoe een aanvaller zijn netwerk kon binnendringen. Het bedrijf zei dat het de claim evalueert en geen verstoring heeft vastgesteld in operationele technologische omgevingen die offshore activiteiten ondersteunen. Analisten zeggen dat als de gegevens als echt worden bevestigd, het incident vragen kan oproepen over de bescherming van velddatasystemen. Exploratiebestanden kunnen investeringsbeslissingen, concurrentiepositie en langetermijnplanning in offshore bekkens beïnvloeden. Het blootstellen van die bestanden kan de vertrouwelijkheid rond strategische projecten verminderen.
De bewering benadrukt ook de bredere verschuiving van de focus van aanvallers naar hoogwaardige technische informatie die in het bezit is van industriële en energiebedrijven. In voorgaande jaren richtten ransomware-actoren zich vaak op bedrijfsnetwerken die financiële gegevens of klantgegevens bevatten. Analisten merken nu een grotere aandacht op engineeringbestanden, operationele diagrammen en exploratiedata omdat deze gegevens op lange termijn nuttig zijn en mogelijk meer invloed hebben bij afpersingspogingen. De claim van Petrobras sluit aan bij dit patroon en weerspiegelt voortdurende bedreigingen voor organisaties in de energiesector die uitgebreide velddata-omgevingen beheren.
Petrobras heeft geen details verstrekt over de maatregelen voor de containment of of er betrokken zijn bij incidenten van derden. Het bedrijf wordt verwacht toegangslogboeken, back-ups en leveranciersverbindingen te beoordelen om te bepalen of er persistentiemechanismen zijn geïntroduceerd. Organisaties in de olie- en gassector monitoren de situatie en beoordelen hun eigen controles voor systemen die exploratiegegevens, seismische resultaten en technische projectbestanden opslaan. Beveiligingsspecialisten merken op dat deze systemen mogelijk buiten traditionele bedrijfsnetwerken opereren en daarom gerichte aandacht vereisen.